LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-25-2 python2.6

Bulletin d'alerte Debian

DLA-25-2 python2.6 -- Mise à jour de sécurité pour LTS

Date du rapport :

31 juillet 2014

Paquets concernés :

python2.6

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-1015, CVE-2011-1521, CVE-2011-4940, CVE-2011-4944, CVE-2012-0845, CVE-2012-1150, CVE-2013-4238, CVE-2014-1912.

Plus de précisions :

Une régression a été identifiée dans la mise à jour DLA-25-1 pour python2.6, qui pourrait provoquer l’interruption des applications, si elles sont en cours d’exécution durant la mise à niveau et si elles n’ont pas déjà importé le module os mais le font après la mise à niveau. Cette mise à jour corrige le scénario de la mise à niveau.

Pour indication, voici le texte de l’annonce originale.

Plusieurs vulnérabilités ont été découvertes dans python2.6. Les plus importantes sont les suivantes.

• CVE-2013-4238

  Un traitement incorrect de caractères NULL dans les noms d'hôte de certificat pourrait permettre d’usurper un serveur à l’aide de certificats contrefaits pour l'occasion signés par des autorités de certification de confiance.

• CVE-2014-1912

  Un débordement de tampon dans socket.recvfrom_into conduit au plantage de l'application et éventuellement à l’exécution de code.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 2.6.6-8+deb6u2 de python2.6.