Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2344-1 python-django-piston

Bulletin d'alerte Debian

DSA-2344-1 python-django-piston -- Vulnérabilité de désérialisation

Date du rapport :

11 novembre 2011

Paquets concernés :

python-django-piston

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 647315.
Dans le dictionnaire CVE du Mitre : CVE-2011-4103.

Plus de précisions :

La structure de développement Piston peut désérialiser des données YAML et Pickle non fiables, permettant l'exécution de code à distance (CVE-2011-4103).

L'ancienne distribution stable (Lenny) ne contient pas de paquet python-django-piston.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.2.2-1+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 0.2.2-2.

Nous vous recommandons de mettre à jour vos paquets python-django-piston.