Bulletin d'alerte Debian

DLA-2600-1 pygments -- Mise à jour de sécurité pour LTS

Date du rapport :
19 mars 2021
Paquets concernés :
pygments
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-27291.
Plus de précisions :

Il a été découvert qu’il existait une série de vulnérabilités de déni de service dans Pygments, une bibliothèque populaire de coloration syntaxique pour Python.

Un certain nombre d’expressions rationnelles étaient sujettes à une complexité cubique ou exponentielle dans des cas extrêmes qui pouvait causer un déni de service distant (DoS) lors de la fourniture d’une entrée malveillante.

  • CVE-2021-27291

    Dans pygments, versions 1.1 et plus, corrigés dans 2.7.4, les analyseurs lexicaux utilisés pour vérifier les langages de programmation s’appuient fortement sur les expressions rationnelles. Certaines ont une complexité cubique ou exponentielle dans des cas extrêmes et sont vulnérables à une attaque ReDoS. En contrefaisant une entrée, un attaquant malveillant peut provoquer un déni de service.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.2.0+dfsg-1+deb9u2.

Nous vous recommandons de mettre à jour vos paquets pygments.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.