Vulnérabilités dans Twisted

De multiples vulnérabilités ont été découvertes dans Twisted, bibliothèque Python permettant la réalisation d’applications réseau. Un attaquant distant exploitant ces vulnérabilités peut effectuer un déni de service via un blocage du programme, réaliser une attaque de l’homme du milieu, ou encore une attaque de type “HTTP smuggling”, résultant en un contournement de politiques de sécurité mises en place.

CVE-2020-10108, CVE-2020-10109 [Score CVSS v3 : 9.8] : De multiples vulnérabilités de type “HTTP smuggling” (encapsulation d’une requête à l’intérieur d’une autre) ont été découvertes dans Twisted avant la version 19.10.0. En dupliquant l’en-tête “content-length”, ou en l’accompagnant de la directive “chunked transfer encoding”, un attaquant distant peut forcer Twisted à interpréter du contenu comme une requête, permettant ainsi à l’attaquant de contourner certaines politiques de sécurité (confidentialité et intégrité de données).

CVE-2019-9512, CVE-2019-9514, CVE-2019-9515 [Score CVSS v3 : 7.5] : De multiples vulnérabilités ont été découvertes dans l’implémentation de HTTP/2 utilisée, entre autres, par Twisted. Un attaquant distant exploitant ces vulnérabilités peut provoquer un blocage du programme (et donc un déni de service) en effectuant un “flooding” de paquets “ICMP ECHO”, “TCP RST” ou encore de frames “SETTINGS” propres à HTTP/2.

CVE-2019-12855 [Score CVSS v3 : 7.4] : Une vulnérabilité lié à une absence de vérification de certificats a été découverte dans Twisted avant la version 19.2.1. Le support de XMPP implémenté par la bibliothèque ne vérifiant pas les certificats TLS, un attaquant distant peut ainsi lire et modifier les données transitant sur le réseau en injectant son propre certificat.