UPDATE: DFN-CERT-2016-0030 Python Pygments: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian]

UPDATE: DFN-CERT-2016-0030 Python Pygments: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (14.01.2016):
Für die Debian Distributionen Wheezy (old stable), Jessie (stable) und
Stretch (testing) stehen Sicherheitsupdates zur Verfügung.
Version 1 (07.01.2016):
Neues Advisory

Betroffene Software:

Python Pygments

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.04
Canonical Ubuntu Linux 15.10
Debian Linux 7.9 Wheezy
Debian Linux 8.2 Jessie
Debian Linux 9.0 Stretch

Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle
ausnutzen, um durch die Übermittlung einer manipulierten Schriftart-Anfrage
das Programm zum Absturz zu bringen, also einen Denial-of-Service-Zustand zu
bewirken oder, um beliebigen Programmcode zur Ausführung zu bringen.

Für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und
Ubuntu 15.10 werden von Canonical Sicherheitsupdates bereitgestellt.

Patch:

Ubuntu Security Notice USN-2862-1

http://www.ubuntu.com/usn/usn-2862-1/

Patch:

Debian Security Advisory DSA-3445-1

https://www.debian.org/security/2016/dsa-3445

CVE-2015-8557: Schwachstelle in Python Pygments ermöglicht Ausführung
beliebigen Programmcodes

Eine Schwachstelle in Python Pygments in FontManager._get_nix_font_path
beruht auf der fehlerhaften Bereinigung von Zeichenketten (Strings), die für
das Suchen von System Schriftarten (Fonts) verwendet werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0030/

Schwachstelle CVE-2015-8557 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8557

Ubuntu Security Notice USN-2862-1:
http://www.ubuntu.com/usn/usn-2862-1/

Debian Security Advisory DSA-3445-1:
https://www.debian.org/security/2016/dsa-3445

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben