LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2145-2 twisted

Bulletin d'alerte Debian

DLA-2145-2 twisted -- Mise à jour de régression pour LTS

Date du rapport :

19 mars 2020

Paquets concernés :

twisted

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-10108, CVE-2020-10109.

Plus de précisions :

Il a été découvert qu’il existait une régression introduite par la DLA-2145-1 due à une application incorrecte du correctif amont pour les CVE-2020-10108 & CVE-2020-10109 concernant un certain nombre de vulnérabilités de fractionnement de requête HTTP dans Twisted, un cadriciel en Python basé sur les évènements pour construire différents types d’applications web.

Merci à Etienne Allovon pour son rapport détaillé.

• CVE-2020-10108

  Dans Twisted Web jusqu’à 19.10.0, il existait une vulnérabilité de fractionnement de requête HTTP. Lorsque deux en-têtes content-length sont fournis, le premier en-tête est ignoré. Lorsque la seconde valeur content-length était réglée à zéro, le corps de la requête était interprété comme une requête redirigée (pipe).

• CVE-2020-10109

  Dans Twisted Web jusqu’à 19.10.0, il existait une vulnérabilité de fractionnement de requête HTTP. Lorsqu’un en-tête content-length et un encodage de transfert en bloc étaient fournis, le content-length prévalait et la suite du corps de la requête était interprétée comme une requête redirigée (pipe).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 14.0.2-3+deb8u2.

Nous vous recommandons de mettre à jour vos paquets twisted.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.