Python: Meerdere kwetsbaarheden maken Denial of Service mogelijk

Algemeen

Een beveiligingswaarschuwing voor Python heeft een update ontvangen van de BSI. Welke besturingssystemen en producten door het beveiligingslek worden getroffen, kunt u hier op news.de lezen.

Op 19 februari 2024 bracht het Federale Bureau voor Informatietechnologie (BSI) een update uit over een beveiligingsprobleem dat op 15 september 2016 bekend werd. Het beveiligingsprobleem treft de besturingssystemen UNIX en Linux, evenals de open source-producten Python, Amazon Linux 2 en SUSE Linux.

De nieuwste aanbevelingen van de fabrikant met betrekking tot updates, oplossingen en beveiligingspatches voor dit beveiligingslek vindt u hier: (vanaf 19 februari 2024). Andere nuttige bronnen vindt u verderop in dit artikel.

Python-beveiligingsadvies – Risico: gemiddeld

Risiconiveau: 3 (gemiddeld)
CVSS-basisscore: 6,5
CVSS tijdelijke score: 5,7
Afstandsbediening: Ja

Het Common Vulnerability Scoring System (CVSS) wordt gebruikt om de kwetsbaarheid van computersystemen te beoordelen. De CVSS-standaard maakt het mogelijk om potentiële of daadwerkelijke beveiligingskwetsbaarheden te vergelijken op basis van verschillende criteria om zo een prioriteitenlijst te creëren voor het nemen van tegenmaatregelen. De attributen “geen”, “laag”, “medium”, “hoog” en “kritiek” worden gebruikt om de ernstniveaus van een kwetsbaarheid te bepalen. De Basisscore evalueert de vereisten voor een aanval (inclusief authenticatie, complexiteit, privileges, gebruikersinteractie) en de gevolgen ervan. Met de temporele score wordt bij de evaluatie rekening gehouden met randvoorwaarden die in de loop van de tijd kunnen veranderen. De ernst van de hier besproken kwetsbaarheid wordt volgens de CVSS beoordeeld als “medium” met een basisscore van 6,5.

Python-bug: meerdere kwetsbaarheden maken Denial of Service mogelijk

Python is een algemene, algemeen geïnterpreteerde programmeertaal op hoog niveau.

Een externe, anonieme aanvaller kan meerdere kwetsbaarheden in Python misbruiken om een ​​denial-of-service-aanval uit te voeren.

De kwetsbaarheid wordt geïdentificeerd met de unieke CVE-serienummers (Common Vulnerabilities and Exposures). CVE-2014-3589, CVE-2016-0775 en CVE-2016-2533 verhandeld.

Systemen die getroffen zijn door het Python-beveiligingsprobleem in één oogopslag

Besturingssystemen
UNIX,Linux

Producten
Open source Python (cpe:/a:python:python)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
SUSE Linux (cpe:/o:suse:suse_linux)

Algemene maatregelen voor het aanpakken van lacunes in de IT-beveiliging

  1. Gebruikers van de getroffen applicaties moeten deze up-to-date houden. Wanneer gaten in de beveiliging bekend worden, zijn fabrikanten verplicht deze zo snel mogelijk op te lossen door een patch of een tijdelijke oplossing te ontwikkelen. Als er nieuwe beveiligingsupdates beschikbaar zijn, installeer deze dan onmiddellijk.
  2. Raadpleeg voor informatie de bronnen in het volgende gedeelte. Deze bevatten vaak meer informatie over de nieuwste versie van de betreffende software, de beschikbaarheid van beveiligingspatches of tips voor oplossingen.
  3. Als u nog vragen of onduidelijkheden heeft, kunt u contact opnemen met uw verantwoordelijke beheerder. IT-beveiligingsmanagers moeten regelmatig de genoemde bronnen controleren om te zien of er een nieuwe beveiligingsupdate beschikbaar is.

Fabrikantinformatie over updates, patches en oplossingen

Hier vindt u verdere links met informatie over bugrapporten, beveiligingsoplossingen en tijdelijke oplossingen.

Amazon Linux Security Advisory ALAS-2024-2472 vom 2024-02-19 (19.02.2024)
Voor meer informatie, zie:

SUSE-beveiligingsupdate SUSE-SU-2020:2911-1 van 13-10-2020 (13.10.2020)
Voor meer informatie, zie:

SUSE-beveiligingsupdate SUSE-SU-2020:1194-1 vom 2020-05-09 (10.05.2020)
Voor meer informatie, zie:

SUSE-beveiligingsupdate SUSE-SU-2019:2334-1 vom 2019-09-09 (09.09.2019)
Voor meer informatie, zie:

Ubuntu-beveiligingskennisgeving USN-3090-2 vom 2016-10-01 (03.10.2016)
Voor meer informatie, zie:

Ubuntu-beveiligingskennisgeving USN-3080-1 vom 2016-09-15 (15.09.2016)
Voor meer informatie, zie:

Versiegeschiedenis van deze beveiligingswaarschuwing

Dit is de 8e versie van deze IT-beveiligingskennisgeving voor Python. Als er verdere updates worden aangekondigd, wordt deze tekst bijgewerkt. U kunt de aangebrachte wijzigingen bekijken via de onderstaande versiegeschiedenis.

15.09.2016 – Eerste release
15-09-2016 – Versie niet beschikbaar
03.10.2016 – Nieuwe saneringen beschikbaar
10/03/2016 – Versie niet beschikbaar
09/09/2019 – Nieuwe updates van SUSE toegevoegd
10 mei 2020 – Nieuwe updates van SUSE toegevoegd
13 oktober 2020 – Nieuwe updates van SUSE toegevoegd
19-02-2024 – Nieuwe updates van Amazon toegevoegd

+++ Noot voor de redactie: deze tekst is gebaseerd op de huidige…

Buitenlands nieuws
Add a comment