Update für Python-Kryptobibliothek
Die Patches flicken einen Pufferüberlauf in pycrypto, der insbesondere Gnome-Anwender gefährden dürfte.
- Christiane Rütten
Diverse Linux-Distributoren stellen ein wichtiges Update für die Kryptobibliothek Python-Crypto (pycrypto) bereit. Sicherheitsexperten hatten zuvor eine Schwachstelle in Version 2.0.1 des Python-Moduls entdeckt, die Angreifer unter Umständen für Denial-of-Service-Attacken sowie zum Einschleusen von beliebigem Schadcode übers Netz nutzen können.
Beispielsweise der Passwortmanager Revelation und die Clipboard-Verwaltung glipper nutzen pycrypto. Beide sind Komponenten für den Gnome-Desktop. Auch der Bittorrent-Client bittornado setzt zur Verschlüsselung auf das Modul. Der Fehler in der Bibliothek befindet sich im ARC2-Modul, das die Länge eines ARC2-Schlüssels nicht richtig überprüft, sodass es zu einem Pufferüberlauf kommen kann. Insbesondere Gnome-Anwender sollten das Update umgehend über ihre Paketverwaltung einspielen.
Siehe dazu auch:
- PyCrypto ARC2 Module Buffer Overflow Vulnerability, Meldung auf Bugtraq
(cr)
