Bulletin d'alerte Debian
DLA-1357-1 gunicorn -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 22 avril 2018
- Paquets concernés :
- gunicorn
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2018-1000164.
- Plus de précisions :
-
Il existait un problème dans le serveur HTTP gunicorn pour les applications de Python où des séquences CRLF pourraient aboutir à ce que un attaquant trompe le serveur en renvoyant des en-têtes arbitraires.
Pour plus d’informations et de contexte, veuillez consulter :
https://epadillas.github.io/2018/04/02/http-header-splitting-in-gunicorn-19.4.5
Pour Debian 7
Wheezy
, ces problèmes ont été résolus dans la version 0.14.5-3+deb7u2 de gunicorn.Nous vous recommandons de mettre à jour vos paquets gunicorn.