DFN-CERT-2016-1194 Autobahn|Python: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT portal at dfn-cert.de
Thu Jul 28 09:45:03 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Autobahn|Python 0.10.9
  

Betroffene Plattformen:

  Red Hat Fedora 24
  


Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
speziell präparierten Anfrage mehr Quellen (Origins) als vorgesehen für die
Anfrage zulassen und damit Sicherheitsvorkehrungen umgehen.

Für Fedora 24 steht ein Sicherheitsupdate in Form des Pakets
python-autobahn-0.10.9-1.gitcf10233.fc24 im Status 'testing' bereit.


Patch:

  Fedora Security Update FEDORA-2016-acda4281c9 (Fedora 24,
  python-autobahn-0.10.9-1)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-acda4281c9>


AUTOBAHN-PYTHON-GH-ISSUE-691: Schwachstelle in Autobahn|Python ermöglicht
  Umgehen von Sicherheitsvorkehrungen

  Die Kopfdaten einer Anfrage werden nicht ausreichend geprüft, wenn ein Wert
  für 'allowedOrigins' gesetzt ist, da unter anderem der reguläre Ausdruck für
  erlaubte Quellen (Origins) an der falschen Stelle im Programmcode geprüft
  wird.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1194/>

Fedora Security Update FEDORA-2016-acda4281c9 (Fedora 24,
python-autobahn-0.10.9-1):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-acda4281c9>

Autobahn|Python Github Issue #691:
  <https://github.com/crossbario/autobahn-python/issues/691>

Red Hat Bug 1359791:
  <https://bugzilla.redhat.com/show_bug.cgi?id=1359791>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160728/8fe3d30f/attachment.bin>


More information about the Security-Announce mailing list