Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3743-1 python-bottle

Debians sikkerhedsbulletin

DSA-3743-1 python-bottle -- sikkerhedsopdatering

Rapporteret den:

20. dec 2016

Berørte pakker:

python-bottle

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 848392.
I Mitres CVE-ordbog: CVE-2016-9964.

Yderligere oplysninger:

Man opdagede at bottle, et WSGI-framework til programmeringssproget Python, ikke på korrekt vis filtrerede \r\n-sekvencer når viderestillinger blev behandlet. Dermed var det muligt for en angriber at iværksætte CRLF-angreb så som HTTP-headerindsprøjtning.

I den stabile distribution (jessie), er dette problem rettet i version 0.12.7-1+deb8u1.

I distributionen testing (stretch) og i den ustabile distribution (sid), er dette problem has rettet i version 0.12.11-1.

Vi anbefaler at du opgraderer dine python-bottle-pakker.