Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2937-1 mod-wsgi

Bulletin d'alerte Debian

DSA-2937-1 mod-wsgi -- Mise à jour de sécurité

Date du rapport :

27 mai 2014

Paquets concernés :

mod-wsgi

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0240, CVE-2014-0242.

Plus de précisions :

Deux problèmes de sécurité ont été découverts dans le module adaptateur de l'interface WSGI de Python pour Apache :

• CVE-2014-0240

  Robert Kisteleki a découvert une augmentation potentielle de droits dans le mode démon. Ce problème n'est pas exploitable avec le noyau utilisé dans Debian 7.0/wheezy.

• CVE-2014-0242

  Buck Golemon a découvert qu'un traitement incorrect de la mémoire pourrait conduire à la divulgation d'informations lors du traitement d'en-têtes Content-Type.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.3-2+deb6u1.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.3-4+deb7u1.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 3.5-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.5-1.

Nous vous recommandons de mettre à jour vos paquets mod-wsgi.