Bulletin d'alerte Debian

DLA-1520-1 python3.4 -- Mise à jour de sécurité pour LTS

Date du rapport :
26 septembre 2018
Paquets concernés :
python3.4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-1000158, CVE-2018-1060, CVE-2018-1061, CVE-2018-1000802.
Plus de précisions :

Plusieurs vulnérabilités ont été trouvées dans l’interpréteur CPython qui peuvent causer un déni de service, l'obtention d'informations et l’exécution de code arbitraire.

  • CVE-2017-1000158

    CPython (alias Python) est vulnérable à un dépassement d'entier dans la fonction PyString_DecodeEscape dans stringobject.c, aboutissant à un dépassement de tampon basé sur le tas (et possiblement l’exécution de code arbitraire).

  • CVE-2018-1060

    Python est vulnérable à un retour sur trace catastrophique dans la méthode apop() dans pop3lib. Un attaquant pourrait utiliser ce défaut pour provoquer un déni de service.

  • CVE-2018-1061

    Python est vulnérable un retour sur trace catastrophique dans la méthode difflib.IS_LINE_JUNK. Un attaquant pourrait utiliser ce défaut pour provoquer un déni de service.

  • CVE-2018-1000802

    La version Python de Python Software Foundation (CPython) version 2.7 contient un CWE-77 : vulnérabilité de « Improper Neutralization of Special Elements used in a Command ('Command Injection') » dans le module shutil (fonction make_archive) qui pourrait aboutir à un déni de service, l’obtention d’informations à l’aide d’injection de fichiers arbitraires dans le système ou le périphérique en entier. Cette attaque semble être exploitable à l’aide de passage d’entrée non filtrée de l’utilisateur dans la fonction.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.4.2-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets python3.4.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.