Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (18.03.2015):
Für Fedora 21 wird ein Backport-Sicherheitsupdate im Status ‘testing’
bereitgestellt.
Version 1 (17.03.2015):
Neues Advisory

Betroffene Software:

Python Requests <= 2.5.3 Betroffene Plattformen: Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Red Hat Fedora 21 Eine Schwachstelle in Requests ermöglicht einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsmaßnahmen. Patch: Ubuntu Security Notice USN-2531-1 http://www.ubuntu.com/usn/usn-2531-1/

Patch:

Fedora Security Update FEDORA-2015-4084

https://admin.fedoraproject.org/updates/FEDORA-2015-4084/python-requests-2.5.3-2.fc21,python-urllib3-1.10.2-1.fc21

CVE-2015-2296: Schwachstelle in Requests ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in Requests führt dazu, dass Cookies ohne Host-Wert bei
der Umleitungen (redirect) von HTTP-Antworten nicht korrekt behandelt
werden. Ein Cookie wird nicht nur für die Domain gesetzt, von der die
HTTP-Antwort gesendet wurde, sondern auch an das Ziel der Umleitung
gesendet, unabhängig davon, zu welcher Domain das Ziel gehört. Dadurch ist
es möglich Cookies zu stehlen oder Sitzungen zu übernehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0357/

Ubuntu Security Notice USN-2531-1:
http://www.ubuntu.com/usn/usn-2531-1/

Schwachstelle CVE-2015-2296 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2296

Fedora Security Update FEDORA-2015-4084:
https://admin.fedoraproject.org/updates/FEDORA-2015-4084/python-requests-2.5.3-2.fc21,python-urllib3-1.10.2-1.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.