Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 4 (13.04.21):
Für Fedora 32 steht weiterhin ein Sicherheitsupdate in Form des Pakets
‘mingw-python3-3.8.9-1.fc32’ im Status ‘testing’ zur Verfügung.
Version 3 (09.04.21):
Für Fedora 32 stehen ebenfalls Sicherheitsupdates für ‘python3.8’ und
‘python3.9’ auf die jeweils aktuellen Versionen im Status ‘testing’
bereit.
Version 2 (08.04.21):
Für Fedora 33 stehen Sicherheitsupdates für ‘python3.8’ und ‘python3.9’
auf die jeweils aktuellen Versionen der Versionszweige im Status ‘testing’
zur Verfügung.
Version 1 (07.04.21):
Neues Advisory
Ein Angreifer kann eine Schwachstelle in Python lokal ausnutzen, um
Sicherheitsvorkehrungen zu umgehen. Im benachbarten Netzwerk und aus der
Ferne kann der Angreifer zwei weitere Schwachstellen ausnutzen, um
Informationen auszuspähen. Für den Angriff aus dem benachbarten Netzwerk
sind niedrige Privilegien notwendig.
Der Hersteller bestätigt die Schwachstellen und stellt die Versionen 3.9.3
und 3.8.9 zu ihrer Behebung zur Verfügung. Aufgrund einer ABI-
Inkompatibilität wurde Version 3.9.3 bereits zurückgezogen und Version 3.9.4
steht bereit.
Die Installationsdateien für WIndows und macOS beinhalten darüber hinaus
OpenSSL 1.1.1k, wodurch zwei weitere Schwachstellen adressiert werden, die
einem Angreifer aus der Ferne das Umgehen von Sicherheitsvorkehrungen und
einen Denial-of-Service (DoS)-Angriff ermöglichen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-0682]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
