LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1835-1 python3.4

Bulletin d'alerte Debian

DLA-1835-1 python3.4 -- Mise à jour de sécurité pour LTS

Date du rapport :

24 juin 2019

Paquets concernés :

python3.4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 921039, Bogue 924072.
Dans le dictionnaire CVE du Mitre : CVE-2018-14647, CVE-2019-9636, CVE-2019-9740, CVE-2019-9947.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Python, un langage interactif orienté objet de haut niveau.

• CVE-2018-14647

  L’accélérateur C elementtree de Python échouait à initialiser le sel du hachage d’Expat lors de l’initialisation. Cela pourrait faciliter la conduite d’attaques de déni de service à l’encontre d’Expat en construisant un XML qui causerait des collisions de hachage pathologiques dans des structures de données internes de Expat, consommant des montants considérables de CPU et RAM.

• CVE-2019-9636

  Gestion impropre de l’encodage Unicode (avec un netloc incorrect) lors de la normalisation NFKC aboutissant dans une divulgation d'informations (identifiants, cookies, etc., mis en cache pour un nom d’hôte donné). Une URL contrefaite pour l'occasion pourrait être incorrectement analysée pour localiser les cookies ou les données d’authentification et envoyer ces informations à un hôte différent que celui d’une analyse correcte.

• CVE-2019-9740

  Un problème a été découvert dans urllib2 où une injection CRLF était possible si l’attaquant contrôlait un paramètre d’URL, comme prouvé par le premier argument pour urllib.request.urlopen avec \r\n (spécialement dans la chaîne de requête après un caractère ?) suivi par un en-tête HTTP ou un commande Redis.

• CVE-2019-9947

  Un problème a été découvert dans urllib2 où une injection CRLF était possible si l’attaquant contrôlait un paramètre d’URL, comme prouvé par le premier argument pour urllib.request.urlopen avec \r\n (spécialement dans la chaîne de requête après un caractère ?) suivi par un en-tête HTTP ou un commande Redis. Cela est similaire au problème de chaîne de requête CVE-2019-9740.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.4.2-1+deb8u3.

Nous vous recommandons de mettre à jour vos paquets python3.4.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.