Bulletin d'alerte Debian

DLA-522-1 python2.7 -- Mise à jour de sécurité pour LTS

Date du rapport :
21 juin 2016
Paquets concernés :
python2.7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-0772, CVE-2016-5636, CVE-2016-5699.
Plus de précisions :
  • CVE-2016-0772

    Une vulnérabilité dans smtplib permet à un attaquant de type « homme du milieu » (MITM) de réaliser une « StartTLS stripping attack ». smtplib ne semble pas lever une exception quand la partie terminale (serveur smtp) est capable d'une négociation avec starttls mais échoue à répondre avec 220 (ok) à un appel explicite de SMTP.starttls(). Cela permet à un « homme du milieu » malveillant de réaliser une « StartTLS stripping attack » si le code du client ne vérifie pas explicitement le code de réponse pour startTLS.

  • CVE-2016-5636

    Problème n° 26171 : correction d'un possible dépassement d'entier et d'une corruption de tas dans zipimporter.get_data().

  • CVE-2016-5699

    Une injection de protocole peut se produire non seulement si une application règle un en-tête basé sur des valeurs fournies par l'utilisateur, mais aussi si jamais l'application essaie de récupérer une URL spécifiée par un attaquant (cas de SSRF – Server Side Request Forgery) OU si jamais l'application accède à un serveur web malveillant (cas de redirection).

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.7.3-6+deb7u3.

Nous vous recommandons de mettre à jour vos paquets python2.7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.