UPDATE: DFN-CERT-2017-1339 Python: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen [Linux][RedHat][Netzwerk]

UPDATE: DFN-CERT-2017-1339 Python: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen [Linux][RedHat][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (12.01.2018):
IBM informiert darüber, dass IBM Security Access Manager Appliances mit
IBM Security Access Manager 9.0.3.0 von der Schwachstelle in den
Python-Bibliotheken betroffen sind und stellt IBM Security Access Manager
9.0.3.1 als Sicherheitsupdate zur Verfügung (APAR IJ02890).
Version 2 (08.08.2017):
Oracle stellt für Oracle Linux 7 (x86_64) ein Sicherheitsupdate Python zur
Verfügung, über welches die Schwachstelle
CVE-2014-9365 behoben wird. Die anderen in der Meldung ELSA-2017-1868
referenzierten Schwachstellen, wurden bereits vor längerer Zeit über
Sicherheitsupdates adressiert.
Version 1 (02.08.2017):
Neues Advisory

Betroffene Software:

IBM Security Access Manager 9.0.3.0
IBM Security Access Manager < 9.0.3.1 Python Betroffene Plattformen: IBM Security Access Manager Appliance Oracle Linux 7 Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Workstation 7 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Python ausnutzen und im Rahmen eines Man-in-the-middle (MitM)-Angriffs mit einem beliebigen Zertifikat einen SSL Server vortäuschen (Spoofing) und dadurch möglicherweise sensible Informationen ausspähen. Red Hat stellt für verschiedene Red Hat Enterprise Linux 7 Releases aus den Bereichen Client, ComputeNode, Server und Workstation Sicherheitsupdates für 'python' bereit. Die Sicherheitsupdates wurden im Rahmen des Releases von Red Hat Enterprise Linux 7.4 veröffentlicht. Patch: Red Hat Security Advisory RHSA-2017:1868 http://rhn.redhat.com/errata/RHSA-2017-1868.html

Patch:

Oracle Linux Security Advisory ELSA-2017-1868

https://linux.oracle.com/errata/ELSA-2017-1868.html

Patch:

IBM Security Bulletin 2012355

http://www.ibm.com/support/docview.wss?uid=swg22012355

CVE-2014-9365: Schwachstelle in Python erlaubt Darstellen falscher
Informationen

Die HTTP Clients in den Bibliotheken (1) httplib, (2) urllib, (3) urllib2
und (4) xmlrpclib in CPython 2.x bevor 2.7.9 und 3.x bevor 3.4.3 prüfen beim
Aufruf einer HTTPS URL (a) das Zertifikat gegen den vertrauenswürdigen
Zertifikatsspeicher oder verifizieren, ob der Server Hostname mit einem
Domain-Namen (b) im Common Name des Subjects, oder (c) im Feld
“subjectAltName” des X.509-Zertifikates übereinstimmt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1339/

Schwachstelle CVE-2014-9365 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9365

Red Hat Security Advisory RHSA-2017:1868:
http://rhn.redhat.com/errata/RHSA-2017-1868.html

[RHSA-2017:1868-01] python security and bug fix update:
https://www.redhat.com/archives/rhsa-announce/2017-August/msg00021.html

Oracle Linux Security Advisory ELSA-2017-1868:
https://linux.oracle.com/errata/ELSA-2017-1868.html

IBM Security Bulletin 2012355:
http://www.ibm.com/support/docview.wss?uid=swg22012355

IBM PSIRT Blog: IBM Security Access Manager Appliance is affected by a
vulnerability in Python (CVE-2014-9365):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-security-access-manager-appliance-is-affected-by-a-vulnerability-in-python-cve-2014-9365/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben