UPDATE: DFN-CERT-2013-1607 Python-Modul httplib2: Eine Schwachstelle ermöglicht die Manipulation von SSL-Zertifikaten [Linux][Fedora]

UPDATE: DFN-CERT-2013-1607 Python-Modul httplib2: Eine Schwachstelle ermöglicht die Manipulation von SSL-Zertifikaten [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (11.09.2017):
Für Fedora EPEL 7 steht ein Sicherheitsupdate für ‘python-httplib2’ und
‘google-api-python-client’ im Status ‘testing’ bereit, um die
Schwachstelle zu beheben.
Version 1 (06.04.2015):
Neues Advisory

Betroffene Software:

httplib2

Betroffene Plattformen:

Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 LTS (ESM)
Canonical Ubuntu Linux 12.10
Canonical Ubuntu Linux 13.04
Red Hat Fedora 22
Extra Packages for Red Hat Enterprise Linux 7

Eine Schwachstelle in dem Python-Modul httplib2 ermöglicht einem entfernten,
nicht authentisierten Angreifer SSL-Zertifikate für einen
Man-in-the-Middle-Angriff zu manipulieren und damit Sicherheitsvorkehrungen
zu umgehen.

Für die Distribution Fedora 22 steht ein Sicherheitsupdate in Form des
Paketes python-httplib2-0.9-6.fc22 im Status ‘testing’ bereit. Canonical
adressiert die Schwachstelle für Ubuntu 10.04 LTS, Ubuntu 12.04 LTS, Ubuntu
12.10 und Ubuntu 13.04.

Patch:

Ubuntu Security Notice USN-1948-1

http://www.ubuntu.com/usn/usn-1948-1/

Patch:

Fedora Security Update FEDORA-2015-5503 (Fedora 22, python-httplib2-0.9-6)

https://admin.fedoraproject.org/updates/FEDORA-2015-5503/python-httplib2-0.9-6.fc22

Patch:

Fedora Security Update FEDORA-EPEL-2017-59c79d3a8a (Fedora EPEL 7,
python-httplib2-0.9.2-0.1, google-api-python-client-1.6.3-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-59c79d3a8a

CVE-2013-2037: Schwachstelle in httplib2 ermöglicht Umgehen von
Sicherheitsvorkehrungen

In dem Python-Modul httplib2 existiert ein Fehler bei der Überprüfung von
Domain-Namen in SSL-Zertifikaten beim Aufbau von https-Verbindungen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1607/

Ubuntu Security Notice USN-1948-1:
http://www.ubuntu.com/usn/usn-1948-1/

Schwachstelle CVE-2013-2037 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2037

Fedora Security Update FEDORA-2015-5503 (Fedora 22, python-httplib2-0.9-6):
https://admin.fedoraproject.org/updates/FEDORA-2015-5503/python-httplib2-0.9-6.fc22

Fedora Security Update FEDORA-EPEL-2017-59c79d3a8a (Fedora EPEL 7,
python-httplib2-0.9.2-0.1, google-api-python-client-1.6.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-59c79d3a8a

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben