UPDATE: DFN-CERT-2017-1339 Python: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen [Linux][RedHat]

UPDATE: DFN-CERT-2017-1339 Python: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (08.08.2017):
Oracle stellt für Oracle Linux 7 (x86_64) ein Sicherheitsupdate Python zur
Verfügung, über welches die Schwachstelle
CVE-2014-9365 behoben wird. Die anderen in der Meldung ELSA-2017-1868
referenzierten Schwachstellen, wurden bereits vor längerer Zeit über
Sicherheitsupdates adressiert.
Version 1 (02.08.2017):
Neues Advisory

Betroffene Software:

Python

Betroffene Plattformen:

Oracle Linux 7
Red Hat Enterprise Linux for Power (big endian) 7
Red Hat Enterprise Linux for IBM z Systems 7
Red Hat Enterprise Linux for Power (little endian) 7
Red Hat Enterprise Linux for Scientific Computing 7
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server for ARM 7
Red Hat Enterprise Linux Workstation 7

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
Python ausnutzen und im Rahmen eines Man-in-the-middle (MitM)-Angriffs mit
einem beliebigen Zertifikat einen SSL Server vortäuschen (Spoofing) und
dadurch möglicherweise sensible Informationen ausspähen.

Red Hat stellt für verschiedene Red Hat Enterprise Linux 7 Releases aus den
Bereichen Client, ComputeNode, Server und Workstation Sicherheitsupdates für
‘python’ bereit. Die Sicherheitsupdates wurden im Rahmen des Releases von
Red Hat Enterprise Linux 7.4 veröffentlicht.

Patch:

Red Hat Security Advisory RHSA-2017:1868

http://rhn.redhat.com/errata/RHSA-2017-1868.html

Patch:

Oracle Linux Security Advisory ELSA-2017-1868

https://linux.oracle.com/errata/ELSA-2017-1868.html

CVE-2014-9365: Schwachstelle in Python erlaubt Darstellen falscher
Informationen

Die HTTP Clients in den Bibliotheken (1) httplib, (2) urllib, (3) urllib2
und (4) xmlrpclib in CPython 2.x bevor 2.7.9 und 3.x bevor 3.4.3 prüfen beim
Aufruf einer HTTPS URL (a) das Zertifikat gegen den vertrauenswürdigen
Zertifikatsspeicher oder verifizieren, ob der Server Hostname mit einem
Domain-Namen (b) im Common Name des Subjects, oder (c) im Feld
“subjectAltName” des X.509-Zertifikates übereinstimmt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1339/

Schwachstelle CVE-2014-9365 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9365

Red Hat Security Advisory RHSA-2017:1868:
http://rhn.redhat.com/errata/RHSA-2017-1868.html

[RHSA-2017:1868-01] python security and bug fix update:
https://www.redhat.com/archives/rhsa-announce/2017-August/msg00021.html

Oracle Linux Security Advisory ELSA-2017-1868:
https://linux.oracle.com/errata/ELSA-2017-1868.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben