LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3432-1 python2.7

Bulletin d'alerte Debian

DLA-3432-1 python2.7 -- Mise à jour de sécurité pour LTS

Date du rapport :

24 mai 2023

Paquets concernés :

python2.7

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 970099.
Dans le dictionnaire CVE du Mitre : CVE-2015-20107, CVE-2019-20907, CVE-2020-8492, CVE-2020-26116, CVE-2021-3177, CVE-2021-3733, CVE-2021-3737, CVE-2021-4189, CVE-2022-45061.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans Python, un langage interactif de haut niveau orienté objet. Un attaquant pouvait provoquer une injection de commande, un déni de service (DoS), une dissimulation de requête ou un balayage de ports.

• CVE-2015-20107

  Le module mailcap n’ajoutait pas de caractères d’échappement dans les commandes dans le fichier mailcap du système. Cela pouvait permettre à des attaquants d’injecter des commandes d’interpréteur dans des applications qui appelaient mailcap.findmatch avec des entrées non fiables (manque de validation de noms de fichier ou d’arguments fournis par l’utilisateur.).

• CVE-2019-20907

  Dans Lib/tarfile.py, un attaquant était capable d’élaborer une archive TAR conduisant à une boucle infinie quand elle était ouverte par tarfile.open, à cause d’une validation d’en-tête _proc_pax lacks.

• CVE-2020-8492

  Python permettait à un serveur HTTP de conduire une attaque par déni de service à l’aide d’une expression rationnelle (ReDoS) à l’encontre d’un client à cause d’un retour sur trace désastreux de urllib.request.AbstractBasicAuthHandler.

• CVE-2020-26116

  http.client permettait une injection CRLF si un attaquant contrôlait la méthode de requête HTTP, comme le montre l’insertion de caractères de contrôle CR et LF dans le premier argument de HTTPConnection.request.

• CVE-2021-3177

  Python avait un dépassement de tampon dans PyCArg_repr dans _ctypes/callproc.c, qui pouvait conduire à une exécution de code à distance dans certaines applications Python qui acceptaient des nombres avec virgule flottante comme entrée non fiable, comme le montre un argument 1e300 pour c_double.from_param. Cela se produisait parce sprintf était utilisé de manière non sûre.

• CVE-2021-3733

  Un défaut existait dans la classe AbstractBasicAuthHandler de urllib. Un attaquant qui contrôlait un serveur HTTP malveillant qui avait un client HTTP (tel qu’un navigateur web) connecté, pouvait déclencher un déni de service par expression rationnelle (ReDOS) durant une authentification de requête avec une charge utile contrefaite pour l'occasion qui était envoyée par le serveur au client.

• CVE-2021-3737

  Une réponse HTTP improprement gérée dans le code de client HTTP de python pouvait permettre à un attaquant distant, qui contrôlait un serveur HTTP, de faire entrer le script client dans une boucle infinie, dévorant du temps CPU.

• CVE-2021-4189

  La bibliothèque cliente FTP (File protocole Transfer) dans le mode PASV (passif) acceptait l’hôte par défaut de la réponse PASV. Ce défaut permettait à un attaquant de mettre en place un serveur FTP malveillant qui pouvait amener des clients FTP de se reconnecter à une adresse IP et un port donnés. Cette vulnérabilité pouvait conduire à un balayage de ports FTP du client. Pour les rares utilisateurs qui voudraient le comportement précédent, définissez un attribut trust_server_pasv_ipv4_address dans votre instance ftplib.FTP à True.

• CVE-2022-45061

  Un algorithme quadratique non nécessaire existait dans un chemin lors du traitement de certaines entrées dans le décodeur IDNA (RFC 3490), qui, si un nom élaboré et d’une longueur déraisonnable était présenté au décodeur, pouvait conduire à un déni de service du CPU.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 2.7.16-2+deb10u2.

Nous vous recommandons de mettre à jour vos paquets python2.7.

Pour disposer d'un état détaillé sur la sécurité de python2.7, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/python2.7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.