Debians sikkerhedsbulletin

DSA-4864-1 python-aiohttp -- sikkerhedsopdatering

Rapporteret den:
27. feb 2021
Berørte pakker:
python-aiohttp
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2021-21330.
Yderligere oplysninger:

Beast Glatisant og Jelmer Vernooij rapporterede at python-aiohttp, et asynkronst HTTP-klient-/-serverframework, var ramt af en åben viderestilling-sårbarhed. Et ondsidet fremstillet link til en aiohttp-baseret webserver, kunne viderestille browseren til et andet websted.

I den stabile distribution (buster), er dette problem rettet i version 3.5.1-1+deb10u1.

Vi anbefaler at du opgraderer dine python-aiohttp-pakker.

For detaljeret sikkerhedsstatus vedrørende python-aiohttp, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/python-aiohttp