LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2370-1 python-pip

Bulletin d'alerte Debian

DLA-2370-1 python-pip -- Mise à jour de sécurité pour LTS

Date du rapport :

11 septembre 2020

Paquets concernés :

python-pip

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-20916.

Plus de précisions :

Il a été découvert qu’il existait une attaque par traversée de répertoires dans pip, l’installateur de paquets Python.

Quand une URL était donnée dans une commande d’installation, tel qu’un en-tête Content-Disposition pouvant avoir des composants ../ dans leur nom de fichier, des fichiers locaux arbitraires (par exemple, /root/.ssh/authorized_keys) pourraient être écrasés.

• CVE-2019-20916

  Le paquet pip avant sa version 19.2 pour Python permet une traversée de répertoires quand une URL est indiquée dans une commande d’installation, car un en-tête Content-Disposition peut avoir ../ dans un nom de fichier, comme le montre l’écrasement du fichier /root/.ssh/authorized_keys. Cela se produit dans _download_http_url dans _internal/download.py.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 9.0.1-2+deb9u2.

Nous vous recommandons de mettre à jour vos paquets python-pip.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.