Bulletin d'alerte Debian

DLA-2619-1 python3.5 -- Mise à jour de sécurité pour LTS

Date du rapport :
5 avril 2021
Paquets concernés :
python3.5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-3177, CVE-2021-3426, CVE-2021-23336.
Plus de précisions :

Trois problèmes de sécurité ont été découverts dans python3.5 :

  • CVE-2021-3177

    Python 3.x avait un dépassement de tampon dans PyCArg_repr dans _ctypes/callproc.c qui pourrait conduire à l’exécution de code à distance dans certaines applications en Python qui acceptent des nombres en virgule flottante comme entrées non fiables. Cela se produit à cause d’une utilisation non sûre de sprintf.

  • CVE-2021-3426

    L’exécution de pydoc -p permet à d’autres utilisateurs locaux d’extraire des fichiers arbitraires. L’URL /getfile?key=path permet de lire un fichier arbitraire sur le système de fichiers.

    Le correctif supprime la fonction getfile du module pydoc qui pourrait être détournée pour lire des fichiers arbitraires sur le disque (vulnérabilité de traversée de répertoires).

  • CVE-2021-23336

    Python3.5 est vulnérable à un empoisonnement du cache web à l’aide de urllib.parse.parse_qsl et urllib.parse.parse_qs en utilisant un masquage de paramètre d’appel de vecteur. Quand l’attaquant peut séparer les paramètres de requête en utilisant un point-virgule (;), il peut provoquer une différence dans l’interprétation de la requête entre le mandataire (exécuté avec la configuration par défaut) et le serveur. Cela peut aboutir à des requêtes malveillantes mises en cache comme étant entièrement sûres, puisque le mandataire habituellement ne voit pas le point-virgule comme un séparateur, et par conséquent ne l’inclura pas dans une clé de cache d’un paramètre non mis en clé.

    Attention, modification d’API !

    Veuillez vérifier que vos logiciels fonctionnent correctement s’ils utilisent urllib.parse.parse_qs ou urllib.parse.parse_qsl, cgi.parse ou cgi.parse_multipart.

    Les versions précédentes de Python permettaient l’utilisation de ; et & comme séparateurs de paramètres de requête dans urllib.parse.parse_qs et urllib.parse.parse_qsl. À cause de problèmes de sécurité, et pour se conformer avec les nouvelles recommandations du W3C, cela a été modifié pour permettre seulement un unique séparateur avec & comme valeur par défaut. Cette modification affecte aussi cgi.parse et cgi.parse_multipart puisqu’ils utilisent les fonctions affectées en interne. Pour plus de détails, veuillez consulter leur documentation respective.

    Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 3.5.3-1+deb9u4.

    Nous vous recommandons de mettre à jour vos paquets python3.5.

    Pour disposer d'un état détaillé sur la sécurité de python3.5, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/python3.5.

    Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.