Bulletin d'alerte Debian

DLA-2686-1 python-urllib3 -- Mise à jour de sécurité pour LTS

Date du rapport :
28 juin 2021
Paquets concernés :
python-urllib3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-20060, CVE-2019-11236, CVE-2019-11324, CVE-2020-26137.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans python-urllib3, un client HTTP pour Python.

  • CVE-2018-20060

    Urllib3 ne retire pas l’en-tête d’autorisation HTTP lors du suivi d’une redirection d’origine croisée (c’est-à-dire une redirection qui diffère dans l’hôte, le port ou le schéma). Cela peut permettre l'exposition à des hôtes non souhaités des accréditations dans l’en-tête d’authentification ou leur transmission en clair.

  • CVE-2019-11236

    Une injection CRLF est possible si l’attaquant contrôle le paramètre de la requête.

  • CVE-2019-11324

    Urllib3 gère incorrectement certain cas où l’ensemble voulu de certificats CA est différent du magasin de certificats CA du système d’exploitation, ce qui aboutit à des connexions SSL réussies dans des situations où un échec de vérification est le résultat correct. Cela concerne les arguments ssl_context, ca_certs ou ca_certs_dir.

  • CVE-2020-26137

    Urllib3 permet une injection CRLF si l’attaquant contrôle la méthode de requête HTTP, comme cela est démontré en insérant des caractères de contrôle CR et LF dans le premier argument de putrequest().

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.19.1-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets python-urllib3.

Pour disposer d'un état détaillé sur la sécurité de python-urllib3, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/python-urllib3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.