Bulletin d'alerte Debian

DSA-4953-1 lynx -- Mise à jour de sécurité

Date du rapport :
10 août 2021
Paquets concernés :
lynx
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 991971.
Dans le dictionnaire CVE du Mitre : CVE-2021-38165.
Plus de précisions :

Thorsten Glaser et Axel Beckert ont signalé que lynx, un navigateur web non graphique (en mode texte), ne gère pas correctement le sous composant de données utilisateurs d'un URI, ce qui peut conduire à une fuite d'identifiant en clair dans les données d'indication du nom de serveur (SNI – Serveur Name Indication).

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 2.8.9rel.1-3+deb10u1.

Nous vous recommandons de mettre à jour vos paquets lynx.

Pour disposer d'un état détaillé sur la sécurité de lynx, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/lynx.