Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 4 (06.08.19):
Oracle stellt für Oracle Linux 8 (aarch64, x86_64) Sicherheitsupdates für
‘python-jinja2’ bereit, um die Schwachstelle zu beheben.
Version 3 (05.06.19):
Für die Red Hat Software Collections 1 stehen Sicherheitsupdates von ‘rh-
python36-python-jinja2’ für Red Hat Enterprise Linux Server 6, 7, 7.4,
7.5, 7.6, for ARM und Red Hat Enterprise Linux Workstation 6 und 7 bereit.
Version 2 (13.05.19):
Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates zur Behebung der
Schwachstelle in ‘python-jinja2’ bereit. Die Updates stehen damit unter
anderem für Red Hat Enterprise Linux for x86_64 und Red Hat Enterprise
Linux for ARM 64 8 zur Verfügung.
Version 1 (16.04.19):
Neues Advisory
Ein lokaler, einfach authentifizierter Angreifer kann eine Schwachstelle mit
Hilfe von Python-Zeichenketten ausnutzen, um aus der Jinja2-Sandbox über die
Methode ‘str.format_map()’ auszubrechen.
Der Hersteller stellt Jinja 2.10.1 als Sicherheitsupdate zur Verfügung. Für
Fedora 28 und 29 stehen Sicherheitsupdates in Form der Pakete ‘python-
jinja2-2.10.1-1.fc28’ und ‘python-jinja2-2.10.1-1.fc29’ im Status ‘testing’
bereit, um die Schwachstelle zu beheben. Die Software wird damit auf Version
2.10.1 aktualisiert.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0767]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
