Kurzinfo CB-K16/0067

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: Python-RSA: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen
Datum: 14.01.2016
Software: Python-RSA < 3.3
Plattform: SUSE Linux Enterprise Module for Public Cloud 12, openSUSE 13.1, openSUSE 13.2, openSUSE Leap 42.1, Red Hat Fedora 22, Red Hat Fedora 23, Extra Packages for Red Hat Enterprise Linux 6, Extra Packages for Red Hat Enterprise Linux 7
Auswirkung: Umgehen von Sicherheitsvorkehrungen
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2016-1494
Bezug: openSUSE Security Update openSUSE-SU-2016:0108-1
Beschreibung

Python-RSA ist eine Implementation von RSA, die nur auf Python basiert. Sie unterstützt Verschlüsselung, Entschlüsselung, Unterschriften und Verifizierungsmethoden sowie Schlüsselgenerierung nach PKCS#1 Version 1.5.

Eine Schwachstelle in der RSA-Implementierung in Python-RSA vor Version 3.3 ermöglicht einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen durch gefälschte Signaturen, wenn der zum öffentlichen Schlüssel zugehörige Exponent hinreichend klein gewählt wurde. Für die Distribution Fedora 23 sowie für Fedora EPEL 6 und 7 stehen die Pakete python-rsa-3.3-2.fc23, python-rsa-3.3-2.el6 und python-rsa-3.3-2.el7 als Sicherheitsupdates im Status 'testing' bereit. Für die Distribution Fedora 22 steht das Paket python-rsa-3.3-2.fc22 als Sicherheitsupdate im Status 'pending' zur Verfügung. Für das Produkt SUSE Linux Enterprise Module for Public Cloud 12 sowie für die Distributionen openSUSE Leap 42.1, openSUSE 13.1 und 13.2 werden Sicherheitsupdates in Form von Backports veröffentlicht.

  1. Schwachstelle CVE-2016-1494 (NVD)

  2. SUSE Security Update SUSE-SU-2016:0107-1

  3. Fedora Security Update FEDORA-2016-70edfbbcef (Fedora 23)

  4. Fedora Security Update FEDORA-2016-c845706426 (Fedora 22)

  5. Fedora Security Update FEDORA-EPEL-2016-6f526f521d (Fedora EPEL 7)

  6. Fedora Security Update FEDORA-EPEL-2016-7aa48cd8b9 (Fedora EPEL 6)

  7. openSUSE Security Update openSUSE-SU-2016:0108-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.