Bulletin d'alerte Debian

DLA-127-1 pyyaml -- Mise à jour de sécurité pour LTS

Date du rapport :
3 janvier 2015
Paquets concernés :
pyyaml
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 772815.
Dans le dictionnaire CVE du Mitre : CVE-2014-9130.
Plus de précisions :

Jonathan Gray et Stanislaw Pitucha ont découvert un échec d'assertion dans la manière dont les chaînes encapsulées étaient analysées dans Python-YAML, un analyseur et émetteur de YAML pour Python. Un attaquant capable de charger une entrée YAML contrefaite pour l'occasion dans une application utilisant Python-YAML pourrait provoquer le plantage de l'application.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 3.09-5+deb6u1 de pyyaml.