Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-3115-1 pyyaml

Bulletin d'alerte Debian

DSA-3115-1 pyyaml -- Mise à jour de sécurité

Date du rapport :

29 décembre 2014

Paquets concernés :

pyyaml

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 772815.
Dans le dictionnaire CVE du Mitre : CVE-2014-9130.

Plus de précisions :

Jonathan Gray et Stanislaw Pitucha ont découvert un échec d'assertion dans la manière dont les chaînes encapsulées étaient analysées dans Python-YAML, un analyseur et émetteur de YAML pour Python. Un attaquant capable de charger une entrée YAML contrefaite pour l'occasion dans une application utilisant Python-YAML pourrait provoquer le plantage de l'application.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 3.10-4+deb7u1.

Pour la prochaine distribution stable (Jessie), ce problème a été corrigé dans la version 3.11-2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.11-2.

Nous vous recommandons de mettre à jour vos paquets pyyaml.