Bulletin d'alerte Debian

DLA-2927-1 twisted -- Mise à jour de sécurité pour LTS

Date du rapport :
19 février 2022
Paquets concernés :
twisted
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 953950.
Dans le dictionnaire CVE du Mitre : CVE-2020-10108, CVE-2020-10109, CVE-2022-21712.
Plus de précisions :

Twisted, un cadriciel en Python basé sur les évènements pour construire des applications web, est affecté par des vulnérabilités de fractionnement de requête HTTP, et peut exposer des données sensibles en suivant des redirections. Un attaquant peut contourner des vérifications de validation et récupérer des identifiants.

  • CVE-2020-10108

    Vulnérabilité de fractionnement de requête HTTP. Lorsque deux en-têtes content-length sont fournis, le premier en-tête est ignoré. Lorsque la seconde valeur content-length était réglée à zéro, le corps de la requête était interprété comme une requête redirigée (pipe).

  • CVE-2020-10109

    Vulnérabilité de fractionnement de requête HTTP. Lorsqu’un en-tête content-length et un encodage en bloc étaient fournis, le content-length prévalait et la suite du corps de la requête était interprétée comme une requête redirigée (pipe).

  • CVE-2022-21712

    Twisted expose les en-têtes « Cookie » et « Authorization » lorsqu'il suit des redirections d'origines multiples. Ce problème est présent dans les fonctions « twisted.web.RedirectAgent » et « twisted.web.BrowserLikeRedirectAgent ».

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 16.6.0-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets twisted.

Pour disposer d'un état détaillé sur la sécurité de twisted, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/twisted.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.