Информация по безопасности / 2016 / Информация о безопасности -- DSA-3743-1 python-bottle

Рекомендация Debian по безопасности

DSA-3743-1 python-bottle -- обновление безопасности

Дата сообщения:

20.12.2016

Затронутые пакеты:

python-bottle

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 848392.
В каталоге Mitre CVE: CVE-2016-9964.

Более подробная информация:

Было обнаружено, что bottle, WSGI-инфраструктура для языка программирования Python, неправильно фильтрует последовательности "\r\n" при обработке перенаправлений. Это позволяет злоумышленнику выполнять CRLF-атаки, такие как вставка HTTP-заголовка.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 0.12.7-1+deb8u1.

В тестируемом (stretch) и нестабильном (sid) выпусках эта проблема была исправлена в версии 0.12.11-1.

Рекомендуется обновить пакеты python-bottle.