Bulletin d'alerte Debian

DLA-2456-1 python3.5 -- Mise à jour de sécurité pour LTS

Date du rapport :
18 novembre 2020
Paquets concernés :
python3.5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-20907, CVE-2020-26116.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans Python.

  • CVE-2019-20907

    Dans Lib/tarfile.py, un attaquant peut élaborer une archive TAR conduisant à une boucle infinie lorsqu’elle est ouverte par tarfile.open, à cause d’une validation manquante d’en-tête _proc_pax

  • CVE-2020-26116

    http.client permet une injection CRLF si l’attaquant contrôle la méthode de requête HTTP.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 3.5.3-1+deb9u3.

Nous vous recommandons de mettre à jour vos paquets python3.5.

Pour disposer d'un état détaillé sur la sécurité de python3.5, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/python3.5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.