mise à jour corrective du langage de programmation Python 3.8.5, dans lequel plusieurs vulnérabilités :
- — le module tarfile fait une boucle lorsque vous essayez d'ouvrir des fichiers spécialement conçus au format tar.
- - crash lorsque le module Pickle tente de traiter des objets avec un opcode NEWOBJ_EX spécialement conçu.
- — la possibilité de remplacer les en-têtes HTTP dans une requête grâce à l'utilisation de caractères de nouvelle ligne dans le paramètre « méthode » du module http.client. Par exemple : conn.request(method=”GET / HTTP/1.1\r\nHost: abc\r\nRemainder:”, url=”/index.html”). La vulnérabilité a été précédemment corrigée, mais ne couvrait pas la sécurité de la méthode http.client.putrequest.
Source: opennet.ru