Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3743-1 python-bottle

Bulletin d'alerte Debian

DSA-3743-1 python-bottle -- Mise à jour de sécurité

Date du rapport :

20 décembre 2016

Paquets concernés :

python-bottle

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 848392.
Dans le dictionnaire CVE du Mitre : CVE-2016-9964.

Plus de précisions :

Bottle, un environnement WSGI pour le langage Python, ne filtre pas correctement les séquences « \r\n » lors du traitement de redirections. Cela permet à un attaquant de réaliser des attaques d'injection de fin de ligne (CRLF) telles que des injections d'en-têtes HTTP.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 0.12.7-1+deb8u1.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ce problème a été corrigé dans la version 0.12.11-1.

Nous vous recommandons de mettre à jour vos paquets python-bottle.