Bulletin d'alerte Debian
DSA-3115-1 pyyaml -- Mise à jour de sécurité
- Date du rapport :
- 29 décembre 2014
- Paquets concernés :
- pyyaml
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 772815.
Dans le dictionnaire CVE du Mitre : CVE-2014-9130. - Plus de précisions :
-
Jonathan Gray et Stanislaw Pitucha ont découvert un échec d'assertion dans la manière dont les chaînes encapsulées étaient analysées dans Python-YAML, un analyseur et émetteur de YAML pour Python. Un attaquant capable de charger une entrée YAML contrefaite pour l'occasion dans une application utilisant Python-YAML pourrait provoquer le plantage de l'application.
Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 3.10-4+deb7u1.
Pour la prochaine distribution stable (Jessie), ce problème a été corrigé dans la version 3.11-2.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.11-2.
Nous vous recommandons de mettre à jour vos paquets pyyaml.