Python-Schwachstellen: BSI warnt vor drei Lücken in Version 3.15

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mehrere Schwachstellen in der Python-Programmiersprache eingestuft. Betroffen sind alle Versionen vor 3.15.0.

Von der Systemstabilität bis zur Sicherheit vor Viren – viele Nutzer suchen nach einer verlässlichen Alternative zu den täglichen Windows-Herausforderungen. Das kostenlose Linux-Startpaket zeigt Ihnen, wie Sie Ubuntu risikofrei testen und Ihren PC schneller und stabiler machen. Kostenloses Linux-Startpaket mit Ubuntu-Vollversion jetzt sichern

Drei Schwachstellen mit unterschiedlichem Risiko

Die erste als CVE-2026-2297 geführte Lücke wird seit Anfang März beobachtet. Das BSI bewertet sie mit einem CVSS-Score von 5,5 (mittleres Risiko). Ein lokaler Angreifer kann damit bestehende Sicherheitsvorkehrungen umgehen. Das Problem betrifft Linux, UNIX und Windows – darunter auch gängige Distributionen wie Debian, Red Hat, Fedora, SUSE, Oracle, Rocky Linux und Microsoft Azure Linux.

Zwei weitere Schwachstellen – CVE-2026-3644 und CVE-2026-4224 – stufte die Behörde am 27. Mai mit einem höheren CVSS-Score von 7,1 ein. Auch sie gelten als mittleres Risiko. Hier können entfernte, authentifizierte Angreifer Dateien manipulieren oder einen Denial-of-Service-Zustand (DoS) herbeiführen. Betroffen sind UNIX- und Windows-Systeme, darunter Amazon Linux 2 und weitere große Linux-Distributionen.

Patches sind verfügbar

Die Softwarehersteller haben bereits reagiert. Red Hat veröffentlichte ein Sicherheitsupdate (RHSA-2026:21275) für betroffene Systeme. Nutzer von Python-Versionen unter 3.15.0 sollten die Patches umgehend einspielen.

Während Server und PCs oft im Fokus von Sicherheits-Patches stehen, wird die Absicherung mobiler Endgeräte häufig vernachlässigt. Dieser gratis PDF-Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen für Android-Smartphones jetzt gratis herunterladen

Doch nicht nur CPython selbst steht im Fokus. Die Sicherheitslücke „BadHost" (CVE-2026-48710) im Starlette-Framework gefährdet KI-Tools, die auf FastAPI basieren. Angreifer können über manipulierte Host-Header die Authentifizierung umgehen – betroffen sind Infrastrukturen wie vLLM und LiteLLM. Entwickler sollten auf Starlette 1.0.1 aktualisieren.

Malware zielt auf Python-Entwickler

Sicherheitsforscher beobachten zudem, wie Angreifer Python-Werkzeuge für ihre Zwecke nutzen. Die Gruppe Void Dokkaebi setzt die Schadsoftware „InvisibleFerret" ein. Diese verwendet Cython, um Python-Code in Binärdateien zu kompilieren – eine Tarnung, die Browser-Zugangsdaten und Krypto-Wallets von Entwicklern stehlen soll.

Die Zeit zwischen der Entdeckung einer Schwachstelle und dem Auftauchen funktionierender Exploits schrumpft dramatisch. Aktuelle Daten aus April 2026 zeigen: Bei kritischen Lücken beträgt das Zeitfenster im Schnitt nur noch einen halben Tag. Für Betreiber internetfähiger Systeme bedeutet das: Schnelles Patchen ist überlebenswichtig.

de | wissenschaft | 69433019 |