Bulletin d'alerte Debian

DLA-1663-1 python3.4 -- Mise à jour de sécurité pour LTS

Date du rapport :
7 février 2019
Paquets concernés :
python3.4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-0772, CVE-2016-5636, CVE-2016-5699, CVE-2018-20406, CVE-2019-5010.
Plus de précisions :

Cette DLA corrige un problème dans l’analyse de certificats x509, un dépassement d'entier de pickle et quelques problèmes mineurs :

  • CVE-2016-0772

    La bibliothèque smtplib dans CPython ne renvoie pas une erreur quand StartTLS échoue. Cela pourrait permettre à des attaquants de type « homme du milieu » de contourner les protections TLS en exploitant une position de réseau entre le client et le registre pour bloquer la commande StartTLS, autrement dit, une « StartTLS stripping attack ».

  • CVE-2016-5636

    Un dépassement d’entier dans la fonction get_data de zipimport.c dans CPython permet à des attaquants distants d’avoir un impact non précisé à l'aide d'une taille de données négative, déclenchant un dépassement de tas.

  • CVE-2016-5699

    Une vulnérabilité d’injection CRLF dans la fonction HTTPConnection.putheader d’urllib2 et urllib dans CPython permet à des attaquants distants d’injecter des en-têtes arbitraires HTTP à l’aide de séquences CRLF dans un URL.

  • CVE-2018-20406

    Modules/_pickle.c possède un dépassement d'entier à l'aide d'une grande valeur LONG_BINPUT mal gérée lors d’un essai resize to twice the size. Ce problème peut causer un épuisement de mémoire, mais n’existe que si le format de pickle est utilisé pour sérialiser des dizaines ou des centaines de gigaoctets de données.

  • CVE-2019-5010

    Un déréférencement de pointeur NULL en utilisant un certificat X509 contrefait pour l'occasion X509.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.4.2-1+deb8u2.

Nous vous recommandons de mettre à jour vos paquets python3.4.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.