[FOSSGIS-Talk] Sicherheitsschwachstelle in QGIS durch Python
Andreas Neumann
a.neumann at carto.net
Mi Jun 18 09:17:02 CEST 2025
Guten Tag Markus,
Betreibt ihr QGIS unter Linux? Geht es um QGIS auf Desktop, QGIS Server
oder Mobile?
Die Schwachstelle scheint nur das Linux Betriebsystem zu betreffen (im
Zusammenhang mit symlinks). Es wäre aber trotzdem gut, wenn Jürgen
Fischer, unser QGIS packager unter Windows / Debian das bewerten und
kommentieren könnte.
Es scheint mir wichtig, im Zusammenhang mit "Security-Meldungen" immer
den Kontext anzuschauen - betrifft es meine Situation? In welchem
Kontext kann die Schwachstelle ausgenutzt werden?
Ansonsten verweise ich auf https://qgis.org/resources/support/security/
[1]- und man kann Meldungen machen unter
https://github.com/qgis/QGIS/security
Schöne Grüsse,
Andreas
On 2025-06-18 08:01, Markus via FOSSGIS-Talk-Liste wrote:
> Hallo zusammen,
>
> wir verwendet QGIS LTR 3.40.4 mit der dort vorhandenen Python Version
> 3.12.9.
> laut BSI
> [WID-SEC-2025-1318]<https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-1318>
> Python: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen,
>
> sind wir gezwungen zu handeln.
>
> Leider finde ich nicht heraus in welcher aktuelleren QGIS Version
> Python >=3.12.11, >= 3.13.4 oder >= 3.14.0 vorhanden ist.
>
> Kann mir einer sagen wo ich diese Information finden kann, bzw. mir
> eine Lösung vorschlagen?
>
> Gruß
> Markus
>
> Mit freundlichen Grüßen
> Im Auftrag
> Markus Behnke
> Hessisches Landesamt für
> Bodenmanagement und Geoinformation
> Geofachverfahren
> Schaperstraße 16
> 65195 Wiesbaden
>
> [cid:image001.png at 01DBE027.396BBCF0]
>
> Telefon : +49 (611) 535 5353
> Fax : +49 (611) 535 5309
> E-Mail : markus.behnke at hvbg.hessen.de
> Internet : https://hvbg.hessen.de <https://hvbg.hessen.de/>
>
> [cid:image002.jpg at 01DBE027.396BBCF0]
>
> [cid:image003.png at 01DBE027.396BBCF0]
>
> Hinweise zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
> unter https://hvbg.hessen.de/datenschutz
>
> -------------- nächster Teil --------------
> Ein Dateianhang mit Binärdaten wurde abgetrennt...
> Dateiname : image001.png
> Dateityp : image/png
> Dateigröße : 3699 bytes
> Beschreibung: image001.png
> URL :
> <http://lists.fossgis.de/pipermail/fossgis-talk-liste/attachments/20250618/a2a4fd11/attachment.png>
> -------------- nächster Teil --------------
> Ein Dateianhang mit Binärdaten wurde abgetrennt...
> Dateiname : image002.jpg
> Dateityp : image/jpeg
> Dateigröße : 34894 bytes
> Beschreibung: image002.jpg
> URL :
> <http://lists.fossgis.de/pipermail/fossgis-talk-liste/attachments/20250618/a2a4fd11/attachment.jpg>
> -------------- nächster Teil --------------
> Ein Dateianhang mit Binärdaten wurde abgetrennt...
> Dateiname : image003.png
> Dateityp : image/png
> Dateigröße : 17933 bytes
> Beschreibung: image003.png
> URL :
> <http://lists.fossgis.de/pipermail/fossgis-talk-liste/attachments/20250618/a2a4fd11/attachment-0001.png>
> --
> ....................................................................
> FOSSGIS-Konferenz 2026 mit OpenStreetMap-Event in Göttingen!
> 25.-28. März 2026 https://www.fossgis-konferenz.de/
>
> FOSSGIS Vereinstermine:
> https://fossgis.de/aktivit%C3%A4ten/termine/
>
> FOSSGIS e.V, der Verein zur Förderung von Freier Software aus dem
> GIS-Bereich und Freier Geodaten!
> https://www.fossgis.de/ https://mastodon.online/@FOSSGISeV
> ____________________________________________________________________
> FOSSGIS-Talk-Liste mailing list
> FOSSGIS-Talk-Liste at fossgis.de
> https://lists.fossgis.de/mailman/listinfo/fossgis-talk-liste
Links:
------
[1] https://qgis.org/resources/support/security/
Mehr Informationen über die Mailingliste FOSSGIS-Talk-Liste