Bulletin d'alerte Debian

DSA-3115-1 pyyaml -- Mise à jour de sécurité

Date du rapport :
29 décembre 2014
Paquets concernés :
pyyaml
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 772815.
Dans le dictionnaire CVE du Mitre : CVE-2014-9130.
Plus de précisions :

Jonathan Gray et Stanislaw Pitucha ont découvert un échec d'assertion dans la manière dont les chaînes encapsulées étaient analysées dans Python-YAML, un analyseur et émetteur de YAML pour Python. Un attaquant capable de charger une entrée YAML contrefaite pour l'occasion dans une application utilisant Python-YAML pourrait provoquer le plantage de l'application.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 3.10-4+deb7u1.

Pour la prochaine distribution stable (Jessie), ce problème a été corrigé dans la version 3.11-2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.11-2.

Nous vous recommandons de mettre à jour vos paquets pyyaml.