LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2022 / Informations sur la sécurité -- DLA-2896-1 ipython

Bulletin d'alerte Debian

DLA-2896-1 ipython -- Mise à jour de sécurité pour LTS

Date du rapport :

24 janvier 2022

Paquets concernés :

ipython

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-21699.

Plus de précisions :

Il existait une potentielle vulnérabilité d'exécution de code arbitraire dans IPython, l'interpréteur de commande interactif de Python.

Ce problème résulte de l'exécution par IPython de fichiers non fiables dans le répertoire de travail en cours. Selon les développeurs amont :

Presque toutes les versions d'IPython recherchent les fichiers de configuration et les profils dans le répertoire de travail en cours. Dans la mesure où IPython a été développé avant que pip et les environnements existent, cela était utilisé de façon pratique pour charger du code ou des paquets d'une manière qui dépendait du projet.

En 2022, cela n'est plus nécessaire et peut conduire à un comportement confus où, par exemple, le clonage d'un dépôt et le démarrage d'IPython ou le chargement d'un « notebook » à partir de n'importe quelle interface compatible avec Jupyter ayant défini ipython comme noyau peut conduire à l'exécution de code.

Pour traiter ce problème, les profils ou les fichiers de configuration ne sont plus recherchés dans le répertoire de travail en cours.

• CVE-2022-21699

  IPython (Interactive Python) est un interpréteur de commande pour une utilisation interactive dans plusieurs langages de programmation, développé à l'origine pour le langage Python. Les versions affectées sont sujettes à une vulnérabilité d'exécution de code arbitraire réalisée par une gestion incorrecte de fichiers temporaires entre les utilisateurs. Cette vulnérabilité permet à un utilisateur d'exécuter du code en tant qu'un autre sur la même machine. Il est conseillé à tous les utilisateurs de mettre à niveau leurs paquets.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 5.1.0-3+deb9u1.

Nous vous recommandons de mettre à jour vos paquets ipython.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.