Bulletin d'alerte Debian

DLA-2531-1 python-bottle -- Mise à jour de sécurité pour LTS

Date du rapport :
25 janvier 2021
Paquets concernés :
python-bottle
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-28473.
Plus de précisions :

Les paquets src:python-bottle avant la version 0.12.19 sont vulnérables à un empoisonnement de cache web en utilisant un masquage de paramètre d’appel de vecteur.

Lorsque l’attaquant peut séparer les paramètres de requête en utilisant un point-virgule, il peut provoquer une différence dans l’interprétation de la requête par le mandataire (utilisé avec la configuration par défaut) et le serveur. Cela peut aboutir à des requêtes malveillantes mises en cache de la même manière que celles de bonne facture parce que le mandataire ne considère habituellement pas le point-virgule comme un séparateur et, par conséquent, ne l’inclut pas dans une clé de cache d’un paramètre sans clé.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 0.12.13-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets python-bottle.

Pour disposer d'un état détaillé sur la sécurité de python-bottle, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/python-bottle.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.