Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Vulnérabilité critique : fuite de données d’identification .netrc dans la bibliothèque PSF Requests

2025-06-03
Vulnérabilité critique : fuite de données d’identification .netrc dans la bibliothèque PSF Requests

Une vulnérabilité de sécurité critique (CVE-2024-47081) a été découverte dans la bibliothèque Python Requests, très utilisée. Des attaquants peuvent exploiter un appel d’API spécifique pour faire fuir les identifiants stockés dans le fichier .netrc vers des tiers. La vulnérabilité provient de la gestion des URL par la bibliothèque et a été signalée en septembre 2024, mais n’est toujours pas corrigée. Il est conseillé aux utilisateurs de spécifier explicitement les identifiants à chaque appel d’API.

Lire plus
(seclists.org)
Développement bibliothèque Requests

Trois contournements des restrictions d'espace de noms utilisateur non privilégiés d'Ubuntu

2025-03-29
Trois contournements des restrictions d'espace de noms utilisateur non privilégiés d'Ubuntu

L'avis de sécurité Qualys détaille trois contournements découverts dans les restrictions d'espace de noms utilisateur non privilégiés d'Ubuntu 24.04. Les attaquants peuvent exploiter des outils installés par défaut, tels que aa-exec et busybox, ou utiliser LD_PRELOAD pour obtenir des privilèges d'administrateur au sein d'un espace de noms, contournant ainsi les mesures de sécurité. Ces exploits tirent parti des profils AppArmor qui permettent la création d'espaces de noms avec des capacités complètes, permettant potentiellement l'exploitation de vulnérabilités du noyau nécessitant des privilèges tels que CAP_SYS_ADMIN ou CAP_NET_ADMIN.

Lire plus
(seclists.org)
Développement Espace de noms utilisateur

La documentation officielle de Python contient un exemple de vulnérabilité XSS classique

2025-02-23
La documentation officielle de Python contient un exemple de vulnérabilité XSS classique

Le chercheur en sécurité Georgi Guninski a découvert une vulnérabilité critique de script intersite (XSS) dans un exemple de code du module CGI de la documentation officielle de Python 3.12. La vulnérabilité provient de la sortie directe de données de formulaire fournies par l'utilisateur sans aucune désinfection. Cela représente un risque significatif pour le développement web en Python et affecte potentiellement le code généré par l'IA, comme celui de ChatGPT et Deepseek. Bien que le module CGI ait été supprimé dans Python 3.13, une quantité substantielle de code hérité reste vulnérable.

Lire plus
(seclists.org)
Développement