Vulnérabilité dans Python-ecdsa
Date de publication :
Debian a publié un bulletin faisant état d’une vulnérabilité dans Python-ecdsa, une bibliothèque de modules cryptographiques pour la signature électronique pour Python. Python-ecdsa gérait incorrectement certaines signatures permettant à un attaquant de provoquer un déni de service.
CVE-2019-14853[Score CVSS v3 : 7.5] : Une mauvaise gestion des erreurs a été découverte dans les versions antérieures à la version 0.13.3 de Python-ecdsa. Au cours des opérations de vérification de la signature électronique, une signature de format DER (Distinguished encoding rules) mal formée pourrait créer des erreurs inattendues dans certains cas et provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d‘exploitation
- Aucun
Composants vulnérables
- Python-ecdsa (versions antérieures à la version 0.13.3)
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Debian a publié les recommandations suivantes :
- Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 0.13-2+deb9u1
- Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 0.13-3+deb10u1
- Debian recommande de mettre à jour les paquets Python-ecdsa
Solution de contournement
- Aucune