L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de CPython

vulnérabilité informatique CVE-2018-14647

Python : déni de service via XML Hash Collisions

Synthèse de la vulnérabilité

Produits concernés : Debian, Python, SUSE Linux Enterprise Desktop, SLES, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 28/09/2018.
Références : 34623, CVE-2018-14647, DSA-4306-1, DSA-4307-1, SUSE-SU-2018:3156-1, USN-3817-1, USN-3817-2, VIGILANCE-VUL-27355.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via XML Hash Collisions de Python, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-1000802

Python : exécution de code via shutil-make_archive

Synthèse de la vulnérabilité

Produits concernés : Debian, openSUSE Leap, Python, SUSE Linux Enterprise Desktop, SLES, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 26/09/2018.
Références : 34540, CVE-2018-1000802, DLA-1519-1, DLA-1520-1, DSA-4306-1, openSUSE-SU-2018:3052-1, openSUSE-SU-2018:3703-1, SUSE-SU-2018:3002-1, SUSE-SU-2018:3554-1, SUSE-SU-2018:3554-2, USN-3817-1, USN-3817-2, VIGILANCE-VUL-27318.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via shutil-make_archive() de Python, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 26967

Python : buffer overflow via os.symlink

Synthèse de la vulnérabilité

Produits concernés : Python.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/08/2018.
Références : VIGILANCE-VUL-26967.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via os.symlink de Python, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-18207

Python Core : déni de service via Wave_read._read_fmt_chunk

Synthèse de la vulnérabilité

Produits concernés : openSUSE Leap, Python, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : sources contradictoires (1/5).
Date création : 17/04/2018.
Références : 32056, CVE-2017-18207, openSUSE-SU-2018:0966-1, openSUSE-SU-2018:2126-1, SUSE-SU-2018:1786-1, SUSE-SU-2018:2040-1, VIGILANCE-VUL-25893.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Wave_read._read_fmt_chunk() de Python Core, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 25736

Python : buffer overflow via Windows os.symlink

Synthèse de la vulnérabilité

Produits concernés : Python.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 30/03/2018.
Références : VIGILANCE-VUL-25736.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via Windows os.symlink de Python, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2018-1061

Python : déni de service via Poplib Regular Expressions

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, IBM i, openSUSE Leap, Python, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 30/03/2018.
Références : CVE-2018-1061, DLA-1519-1, DLA-1520-1, DSA-4306-1, DSA-4307-1, FEDORA-2018-a042f795b2, FEDORA-2018-aa8de9d66a, ibm10725759, openSUSE-SU-2018:2712-1, openSUSE-SU-2018:3703-1, RHSA-2018:3041-01, SSA:2018-124-01, SUSE-SU-2018:2408-1, SUSE-SU-2018:2696-1, SUSE-SU-2018:3554-1, SUSE-SU-2018:3554-2, USN-3817-1, USN-3817-2, VIGILANCE-VUL-25735.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Poplib Regular Expressions de Python, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2018-1060

Python : déni de service via Difflib Regular Expressions

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, IBM i, openSUSE Leap, Python, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 30/03/2018.
Références : CVE-2018-1060, DLA-1519-1, DLA-1520-1, DSA-4306-1, DSA-4307-1, FEDORA-2018-a042f795b2, FEDORA-2018-aa8de9d66a, ibm10725759, openSUSE-SU-2018:2712-1, openSUSE-SU-2018:3703-1, RHSA-2018:3041-01, SSA:2018-124-01, SUSE-SU-2018:2408-1, SUSE-SU-2018:2696-1, SUSE-SU-2018:3554-1, SUSE-SU-2018:3554-2, USN-3817-1, USN-3817-2, VIGILANCE-VUL-25734.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Difflib Regular Expressions de Python, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2018-1000117

Python : buffer overflow via Windows os.symlink

Synthèse de la vulnérabilité

Produits concernés : Python.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 08/03/2018.
Références : 33001, CVE-2018-1000117, VIGILANCE-VUL-25490.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via Windows os.symlink() de Python, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 23906

Python : obtention d'information via Typo Squatting

Synthèse de la vulnérabilité

Produits concernés : Python.
Gravité : 3/4.
Conséquences : lecture de données.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 22/09/2017.
Références : skcsirt-sa-20170909-pypi-malicious-code, VIGILANCE-VUL-23906.

Description de la vulnérabilité

Un attaquant a créé des paquets avec des noms proches, pour inviter les administrateurs à les installer sur Python, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2017-1000158

Python : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Python.
Produits concernés : Debian, Fedora, openSUSE Leap, Solaris, Python, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 19/09/2017.
Références : bpo-30500, bpo-30730, bulletinapr2018, bulletinjul2018, CVE-2017-1000158, DLA-1189-1, DLA-1190-1, DLA-1519-1, DLA-1520-1, DSA-4307-1, FEDORA-2017-2d441a1d98, FEDORA-2017-2e5a17c4cc, FEDORA-2017-677069c484, FEDORA-2017-6be762ea64, FEDORA-2017-7fe2c4bc0e, FEDORA-2017-99d12bf610, FEDORA-2017-a41f6a8078, FEDORA-2017-cf8c62747a, FEDORA-2017-e0abe14016, issue30657, openSUSE-SU-2018:1415-1, SUSE-SU-2018:1372-1, USN-3496-1, USN-3496-2, USN-3496-3, VIGILANCE-VUL-23866.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Python.

Un attaquant peut utiliser une vulnérabilité via Windows Environment Variables Injection, afin d'exécuter du code. [grav:2/4; bpo-30730]

Un attaquant peut contourner les mesures de sécurité via urllib.splithost(), afin d'élever ses privilèges. [grav:2/4; bpo-30500]

Un attaquant peut provoquer un débordement d'entier via PyString_DecodeEscape(), afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2017-1000158, issue30657]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur CPython :