Bulletin d'alerte Debian

DLA-2432-1 jupyter-notebook -- Mise à jour de sécurité pour LTS

Date du rapport :
19 novembre 2020
Paquets concernés :
jupyter-notebook
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 893436, Bogue 917409.
Dans le dictionnaire CVE du Mitre : CVE-2018-8768, CVE-2018-19351, CVE-2018-21030.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans jupyter-notebook.

  • CVE-2018-8768

    Un fichier notebook malveillant pourrait contourner le nettoyage afin d’exécuter du Javascript dans le contexte notebook. Précisément, du HTML incorrect est corrigé par jQuery après le nettoyage, le rendant dangereux.

  • CVE-2018-19351

    Un script intersite est permis à l'aide d'un notebook non fiable parce que les réponses nbconvert sont considérées comme ayant la même origine que le serveur de notebook.

  • CVE-2018-21030

    jupyter-notebook n’utilise pas d’en-tête CSP pour traiter les fichiers servis comme appartenant à une origine distincte. Ainsi, une charge XSS peut être placée dans un document SVG.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 4.2.3-4+deb9u1.

Nous vous recommandons de mettre à jour vos paquets jupyter-notebook.

Pour disposer d'un état détaillé sur la sécurité de jupyter-notebook, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/jupyter-notebook.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.