LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-871-1 python3.2

Bulletin d'alerte Debian

DLA-871-1 python3.2 -- Mise à jour de sécurité pour LTS

Date du rapport :

25 mars 2017

Paquets concernés :

python3.2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-0772.

Plus de précisions :

Il a été découvert qu’il existait une vulnérabilité de dépouillement (stripping) TLS dans la bibliothèque smptlib distribuée avec l’interpréteur CPython.

La bibliothèque ne renvoyait pas une erreur si StartTLS échouait, ce qui pouvait permettre à des attaquants de type « homme du milieu » de contourner les protections TLS en exploitant une position de réseau pour bloquer la commande StartTLS.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 3.2.3-7+deb7u1 de python3.2.

Nous vous recommandons de mettre à jour vos paquets python3.2.