Bulletin d'alerte Debian

DLA-279-1 python-tornado -- Mise à jour de sécurité pour LTS

Date du rapport :
22 juillet 2015
Paquets concernés :
python-tornado
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-9720.
Plus de précisions :

Une vulnérabilité a été découverte dans python-tornado, un serveur web Python évolutif, non bloquant.

  • CVE-2014-9720

    Un cookie de contrefaçon de requête intersite (CSRF) permet une attaque par canal auxiliaire de type BREACH (« Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext ») à l'encontre de TLS

    Correctif de sécurité

    Le jeton XSRF est maintenant encodé avec un masque aléatoire à chaque requête. Cela le rend sûr pour l'inclure dans des pages compressées sans qu'il soit vulnérable à l'attaque de type BREACH.

Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé dans la version 1.0.1-1+deb6u1.