Bulletin d'alerte Debian

DLA-2145-1 twisted -- Mise à jour de sécurité pour LTS

Date du rapport :
17 mars 2020
Paquets concernés :
twisted
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-10108, CVE-2020-10109.
Plus de précisions :

Il a été découvert qu’il existait un certain nombre de vulnérabilités de fractionnement de requête HTTP dans Twisted, un cadriciel en Python basé sur les évènements pour construire différents types d’applications web.

Pour plus d’informations, veuillez consulter l’annonce de l’amont.

  • CVE-2020-10108

    Dans Twisted Web jusqu’à 19.10.0, il existait une vulnérabilité de fractionnement de requête HTTP. Lorsque deux en-têtes content-length sont fournis, le premier en-tête est ignoré. Lorsque la seconde valeur content-length était réglée à zéro, le corps de la requête était interprété comme une requête redirigée (pipe).

  • CVE-2020-10109

    Dans Twisted Web jusqu’à 19.10.0, il existait une vulnérabilité de fractionnement de requête HTTP. Lorsqu’un en-tête content-length et un encodage de transfert en bloc étaient fournis, le content-length prévalait et la suite du corps de la requête était interprétée comme une requête redirigée (pipe).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 14.0.2-3+deb8u1.

Nous vous recommandons de mettre à jour vos paquets twisted.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.