Bulletin d'alerte Debian

DLA-2337-1 python2.7 -- Mise à jour de sécurité pour LTS

Date du rapport :
22 août 2020
Paquets concernés :
python2.7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-20852, CVE-2019-5010, CVE-2019-9636, CVE-2019-9740, CVE-2019-9947, CVE-2019-9948, CVE-2019-10160, CVE-2019-16056, CVE-2019-20907.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Python2.7, un langage interactif de haut niveau orienté objet.

  • CVE-2018-20852

    En utilisant un serveur malveillant, un attaquant pourrait dérober les cookies destinés à d’autres domaines.

  • CVE-2019-5010

    Déréférencement de pointeur NULL en utilisant un certificat X509 contrefait pour l'occasion.

  • CVE-2019-9636

    Traitement incorrect d’encodage Unicode (avec un netloc incorrect) lors d’une normalisation NFKC aboutissant à une divulgation d'informations (accréditations, cookies, etc., mis en cache pour un nom d’hôte donné). Une URL contrefaite pour l'occasion pourrait être analysée incorrectement pour identifier des cookies ou des données d’authentification et envoyer ces informations à un hôte différent de celui analysé correctement.

  • CVE-2019-9740

    Un problème a été découvert dans urllib2 où une injection CRLF est possible si l’attaquant contrôle un paramètre d’URL, comme le montre le premier argument d’urllib.request.urlopen avec \r\n (particulièrement avec la chaîne de requête après un caractère ?) suivi par un en-tête HTTP ou une commande Redis.

  • CVE-2019-9947

    Un problème a été découvert dans urllib2 où une injection CRLF est possible si l’attaquant contrôle un paramètre d’URL, comme le montre le premier argument d’urllib.request.urlopen avec \r\n (particulièrement avec la chaîne de requête après un caractère ?) suivi par un en-tête HTTP ou une commande Redis. Cela est similaire au problème de requête de chaîne CVE-2019-9740.

  • CVE-2019-9948

    urllib gère local_file: scheme, ce qui facilite une attaque distante de contournement des mécanismes de protection qui mettent en liste noire les file: URI, comme le montre un appel à urllib.urlopen('local_file:///etc/passwd').

  • CVE-2019-10160

    Une régression de sécurité CVE-2019-9636 a été découverte qui permet encore à un attribut d’exploiter CVE-2019-9636 les parties utilisateur et mot de passe d’une URL. Lorsqu’une application analyse une URL fournie par l’utilisateur pour stocker les cookies, les accréditations ou d’autres sortes d’informations, il est possible pour un attaquant de fournir des URL contrefaites pour l'occasion afin que l’application identifie des informations relatives à l’hôte (par exemple, cookies, données d’authentification) et les envoie au mauvais hôte, contrairement à l’analyse correcte d’une URL. Cette attaque aboutit différemment selon l’application.

  • CVE-2019-16056

    Le module de courriel analyse mal les addresses de courriel contenant plusieurs caractères @. Une application utilisant le module de courriel et mettant en œuvre une certaine sorte de vérification des en-têtes From/To d’un message pourrait être trompée et accepter une adresse de courriel qui aurait due être refusée.

  • CVE-2019-20907

    L’ouverture d’un fichier tar contrefait pourrait aboutir à une boucle infinie due à une validation manquante d’en-tête.

    Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.7.13-2+deb9u4.

    Nous vous recommandons de mettre à jour vos paquets python2.7.

    Pour disposer d'un état détaillé sur la sécurité de python2.7, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/python2.7.

    Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.