Bulletin d'alerte Debian
DLA-1663-1 python3.4 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 7 février 2019
- Paquets concernés :
- python3.4
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2016-0772, CVE-2016-5636, CVE-2016-5699, CVE-2018-20406, CVE-2019-5010.
- Plus de précisions :
-
Cette DLA corrige un problème dans l’analyse de certificats x509, un dépassement d'entier de pickle et quelques problèmes mineurs :
- CVE-2016-0772
La bibliothèque smtplib dans CPython ne renvoie pas une erreur quand StartTLS échoue. Cela pourrait permettre à des attaquants de type « homme du milieu » de contourner les protections TLS en exploitant une position de réseau entre le client et le registre pour bloquer la commande StartTLS, autrement dit, une « StartTLS stripping attack ».
- CVE-2016-5636
Un dépassement d’entier dans la fonction get_data de zipimport.c dans CPython permet à des attaquants distants d’avoir un impact non précisé à l'aide d'une taille de données négative, déclenchant un dépassement de tas.
- CVE-2016-5699
Une vulnérabilité d’injection CRLF dans la fonction HTTPConnection.putheader d’urllib2 et urllib dans CPython permet à des attaquants distants d’injecter des en-têtes arbitraires HTTP à l’aide de séquences CRLF dans un URL.
- CVE-2018-20406
Modules/_pickle.c possède un dépassement d'entier à l'aide d'une grande valeur LONG_BINPUT mal gérée lors d’un essai
resize to twice the size
. Ce problème peut causer un épuisement de mémoire, mais n’existe que si le format de pickle est utilisé pour sérialiser des dizaines ou des centaines de gigaoctets de données. - CVE-2019-5010
Un déréférencement de pointeur NULL en utilisant un certificat X509 contrefait pour l'occasion X509.
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 3.4.2-1+deb8u2.Nous vous recommandons de mettre à jour vos paquets python3.4.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2016-0772