Debians sikkerhedsbulletin

DSA-4864-1 python-aiohttp -- sikkerhedsopdatering

Rapporteret den:

27. feb 2021

Berørte pakker:

python-aiohttp

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2021-21330.

Yderligere oplysninger:

Beast Glatisant og Jelmer Vernooij rapporterede at python-aiohttp, et asynkronst HTTP-klient-/-serverframework, var ramt af en åben viderestilling-sårbarhed. Et ondsidet fremstillet link til en aiohttp-baseret webserver, kunne viderestille browseren til et andet websted.

I den stabile distribution (buster), er dette problem rettet i version 3.5.1-1+deb10u1.

Vi anbefaler at du opgraderer dine python-aiohttp-pakker.

For detaljeret sikkerhedsstatus vedrørende python-aiohttp, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/python-aiohttp