LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3331-1 python-cryptography

Bulletin d'alerte Debian

DLA-3331-1 python-cryptography -- Mise à jour de sécurité pour LTS

Date du rapport :

21 février 2023

Paquets concernés :

python-cryptography

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2023-23931.

Plus de précisions :

Il a été découvert qu’il existait une régression dans le correctif précédent pour python-cryptography, une bibliothèque de Python fournissant un certain nombre de primitives de chiffrement et déchiffrement.

Le problème originel était qu’il existait une vulnérabilité potentielle de corruption de mémoire. Cependant, la modification a entrainé une régression due à un rétroportage incorrect du correctif de l’amont vers l’(ancienne) version dans Debian LTS.

• CVE-2023-23931

  cryptography est un paquet conçu pour fournir des primitives de chiffrement et des recettes aux développeurs utilisant Python. Dans les versions affectées, Cipher.update_into acceptait des objets Python qui mettaient en œuvre le protocole de tampon, mais fournissait seulement des tampons immuables. Cela permettait aux objets immuables (tels que octets) de muter, par conséquent violant les règles fondamentales de Python et aboutissant à une sortie corrompue. Désormais une exception est correctement levée. Ce problème est présent depuis que update_into a été introduit dans cryptography 1.8.

Pour Debian 10 Buster, ce problème a été corrigé dans la version 2.6.1-3+deb10u3.

Nous vous recommandons de mettre à jour vos paquets python-cryptography.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.