Bulletin d'alerte Debian

DLA-2145-2 twisted -- Mise à jour de régression pour LTS

Date du rapport :
19 mars 2020
Paquets concernés :
twisted
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-10108, CVE-2020-10109.
Plus de précisions :

Il a été découvert qu’il existait une régression introduite par la DLA-2145-1 due à une application incorrecte du correctif amont pour les CVE-2020-10108 & CVE-2020-10109 concernant un certain nombre de vulnérabilités de fractionnement de requête HTTP dans Twisted, un cadriciel en Python basé sur les évènements pour construire différents types d’applications web.

Merci à Etienne Allovon pour son rapport détaillé.

  • CVE-2020-10108

    Dans Twisted Web jusqu’à 19.10.0, il existait une vulnérabilité de fractionnement de requête HTTP. Lorsque deux en-têtes content-length sont fournis, le premier en-tête est ignoré. Lorsque la seconde valeur content-length était réglée à zéro, le corps de la requête était interprété comme une requête redirigée (pipe).

  • CVE-2020-10109

    Dans Twisted Web jusqu’à 19.10.0, il existait une vulnérabilité de fractionnement de requête HTTP. Lorsqu’un en-tête content-length et un encodage de transfert en bloc étaient fournis, le content-length prévalait et la suite du corps de la requête était interprétée comme une requête redirigée (pipe).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 14.0.2-3+deb8u2.

Nous vous recommandons de mettre à jour vos paquets twisted.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.