Информация по безопасности / 2015 / Информация о безопасности -- DSA-3146-1 requests

Рекомендация Debian по безопасности

DSA-3146-1 requests -- обновление безопасности

Дата сообщения:

30.01.2015

Затронутые пакеты:

requests

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 733108.
В каталоге Mitre CVE: CVE-2014-1829, CVE-2014-1830.

Более подробная информация:

Якуб Вилк обнаружил, что в requests, библиотеке HTTP для языка Python, в случае возникновения перенаправления информация для аутентификации обрабатывается неправильно. Это позволяет удалённым серверам получить два разных типа чувствительной информации: пароли для прокси из заголовка Proxy-Authorization (CVE-2014-1830), либо пароли для netrc из заголовка Authorization (CVE-2014-1829).

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 0.12.1-1+deb7u1.

В готовящемся стабильном (jessie) и нестабильном (sid) выпусках эта проблема была исправлена в версии 2.3.0-1.

Рекомендуется обновить пакеты requests.