[RFR] wml://lts/security/2021/dla-2619.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="30908a91d5b735a2f8b6d5d0f7db1dccccbbadf4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Trois problèmes de sécurité ont été découverts dans python3.5 :</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3177";>CVE-2021-3177</a>
<p>Python 3.x avait un dépassement de tampon dans PyCArg_repr dans
_ctypes/callproc.c qui pourrait conduire à l’exécution de code à distance dans
certaines applications en Python qui acceptent des nombres en virgule flottante
comme entrée non fiable. Cela se produit à cause d’une utilisation non sûre de
sprintf.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3426";>CVE-2021-3426</a>
<p>L’exécution de <q>pydoc -p</q> permet à d’autres utilisateurs locaux d’extraire
des fichiers arbitraire. L’URL <q>/getfile?key=path</q> permet de lire un fichier
arbitraire sur le système de fichiers.</p>
<p>Le correctif supprime la fonction <q>getfile</q> du module pydoc qui pourrait
être détournée pour lire des fichiers arbitraires sur le disque (vulnérabilité
de traversée de répertoires).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23336";>CVE-2021-23336</a>
<p>Python3.5 est vulnérable à un empoisonnement du cache web à l’aide de
urllib.parse.parse_qsl et urllib.parse.parse_qs en utilisant un masquage de
paramètre d’appel de vecteur. Quand l’attaquant peut séparer les paramètres
de requête en utilisant un point-virgule (;), il peut provoquer une différence
dans l’interprétation de la requête entre le mandataire (exécuté avec la
configuration par défaut) et le serveur. Cela peut aboutir à des requêtes
malveillantes mises en cache comme étant entièrement sûres, puisque le
mandataire habituellement ne voit pas le point-virgule comme un séparateur,
et par conséquent ne l’inclura pas dans une clé de cache d’un paramètre non
mis en clé.</p>
<p><b>Attention, modification d’API !</b> </p>
<p> Veuillez vérifier que vos logiciels fonctionnent correctement s’ils
utilisent urllib.parse.parse_qs ou urllib.parse.parse_qsl, cgi.parse ou
cgi.parse_multipart.</p>
<p>Les versions précédentes de Python permettaient l’utilisation de <q>;</q> et
<q>&</q> comme séparateurs de paramètres de requête dans urllib.parse.parse_qs
et urllib.parse.parse_qsl. À cause de problèmes de sécurité, et pour se
conformer avec les nouvelles recommandations du W3C, cela a été modifié pour
permettre seulement un unique séparateur avec <q>&</q> comme valeur par défaut.
Cette modification affecte aussi cgi.parse et cgi.parse_multipart
puisqu’ils utilisent les fonctions affectées en interne. Pour plus de détails,
veuillez consulter leur documentation respective.</p>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 3.5.3-1+deb9u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python3.5.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de python3.5, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/python3.5";>\
https://security-tracker.debian.org/tracker/python3.5</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>
</ul>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2619.data"
# $Id: $
Reply to: