DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1339: Python: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen

Historie

Version 1 (2017-08-02 14:24)
Neues Advisory
Version 2 (2017-08-08 16:20)
Oracle stellt für Oracle Linux 7 (x86_64) ein Sicherheitsupdate Python zur Verfügung, über welches die Schwachstelle
CVE-2014-9365 behoben wird. Die anderen in der Meldung ELSA-2017-1868 referenzierten Schwachstellen, wurden bereits vor längerer Zeit über Sicherheitsupdates adressiert.
Version 3 (2018-01-12 17:24)
IBM informiert darüber, dass IBM Security Access Manager Appliances mit IBM Security Access Manager 9.0.3.0 von der Schwachstelle in den Python-Bibliotheken betroffen sind und stellt IBM Security Access Manager 9.0.3.1 als Sicherheitsupdate zur Verfügung (APAR IJ02890).

Betroffene Software

IBM Security Access Manager 9.0.3.0
IBM Security Access Manager < 9.0.3.1
Python

Betroffene Plattformen

IBM Security Access Manager Appliance
Oracle Linux 7
Red Hat Enterprise Linux for Scientific Computing 7
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server for ARM 7
Red Hat Enterprise Linux Workstation 7

Lösung

Patch

Red Hat Security Advisory RHSA-2017:1868

Patch

Oracle Linux Security Advisory ELSA-2017-1868

Patch

IBM Security Bulletin 2012355

Beschreibung

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Python ausnutzen und im Rahmen eines Man-in-the-middle (MitM)-Angriffs mit einem beliebigen Zertifikat einen SSL Server vortäuschen (Spoofing) und dadurch möglicherweise sensible Informationen ausspähen.

Red Hat stellt für verschiedene Red Hat Enterprise Linux 7 Releases aus den Bereichen Client, ComputeNode, Server und Workstation Sicherheitsupdates für 'python' bereit. Die Sicherheitsupdates wurden im Rahmen des Releases von Red Hat Enterprise Linux 7.4 veröffentlicht.

Schwachstellen

CVE-2014-9365: Schwachstelle in Python erlaubt Darstellen falscher Informationen

Die HTTP Clients in den Bibliotheken (1) httplib, (2) urllib, (3) urllib2 und (4) xmlrpclib in CPython 2.x bevor 2.7.9 und 3.x bevor 3.4.3 prüfen beim Aufruf einer HTTPS URL (a) das Zertifikat gegen den vertrauenswürdigen Zertifikatsspeicher oder verifizieren, ob der Server Hostname mit einem Domain-Namen (b) im Common Name des Subjects, oder (c) im Feld "subjectAltName" des X.509-Zertifikates übereinstimmt.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.