LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1663-1 python3.4

Bulletin d'alerte Debian

DLA-1663-1 python3.4 -- Mise à jour de sécurité pour LTS

Date du rapport :

7 février 2019

Paquets concernés :

python3.4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-0772, CVE-2016-5636, CVE-2016-5699, CVE-2018-20406, CVE-2019-5010.

Plus de précisions :

Cette DLA corrige un problème dans l’analyse de certificats x509, un dépassement d'entier de pickle et quelques problèmes mineurs :

• CVE-2016-0772

  La bibliothèque smtplib dans CPython ne renvoie pas une erreur quand StartTLS échoue. Cela pourrait permettre à des attaquants de type « homme du milieu » de contourner les protections TLS en exploitant une position de réseau entre le client et le registre pour bloquer la commande StartTLS, autrement dit, une « StartTLS stripping attack ».

• CVE-2016-5636

  Un dépassement d’entier dans la fonction get_data de zipimport.c dans CPython permet à des attaquants distants d’avoir un impact non précisé à l'aide d'une taille de données négative, déclenchant un dépassement de tas.

• CVE-2016-5699

  Une vulnérabilité d’injection CRLF dans la fonction HTTPConnection.putheader d’urllib2 et urllib dans CPython permet à des attaquants distants d’injecter des en-têtes arbitraires HTTP à l’aide de séquences CRLF dans un URL.

• CVE-2018-20406

  Modules/_pickle.c possède un dépassement d'entier à l'aide d'une grande valeur LONG_BINPUT mal gérée lors d’un essai resize to twice the size. Ce problème peut causer un épuisement de mémoire, mais n’existe que si le format de pickle est utilisé pour sérialiser des dizaines ou des centaines de gigaoctets de données.

• CVE-2019-5010

  Un déréférencement de pointeur NULL en utilisant un certificat X509 contrefait pour l'occasion X509.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.4.2-1+deb8u2.

Nous vous recommandons de mettre à jour vos paquets python3.4.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.