Bonjour, Le 26/12/2019 à 19:27, JP Guillonneau a écrit : > Bonjour, > > pinaillons, pinaillons ! > > Amicalement. > > -- > Jean-Paul Et c'est corrigé ! De nouvelles relectures ? Amicalement, jipege
#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cette mise à jour de sécurité corrige un problème de sécurité dans ruby-mail. Nous vous recommandons de mettre à niveau le paquet ruby-mail.</p>
<p>Takeshi Terada (Mitsui Bussan Secure Directions, Inc.) a publié un livre blanc intitulé <q>SMTP Injection via recipient email addresses</q> (<a href="http://www.mbsd.jp/Whitepaper/smtpi.pdf";>http://www.mbsd.jp/Whitepaper/smtpi.pdf</a>). Ce livre blanc comporte une partie traitant de la manière dont une vulnérabilité de ce type affectait le gem Ruby <q>mail</q> (voir section 3.1).</p> <p>Le livre blanc contient tous les détails spécifiques, mais essentiellement le module du gem Ruby <q>mail</q> est prédisposé à une attaque de destinataire dans la mesure où il ne valide ni ne vérifie pas les adresses de destinataire données. Donc, les attaques décrites dans le chapitre 2 du livre blanc peuvent s'appliquer au gem sans aucune modification. Le gem Ruby <q>mail</q> lui-même n'impose pas de longueur limite aux adresses de courriel, ainsi un attaquant peut envoyer un long message de pourriel à l'aide d'une adresse de destinataire à moins qu'il n'y ait une limite côté application. Cette vulnérabilité n'affecte que les applications qui n'ont pas de validation des entrées.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.4.4-2+deb7u1.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-489.data" # $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Markus Krell a découvert que xymon (anciennement connu sous le nom de Hobbit), un système de surveillance de réseaux et d'applications, était vulnérable aux problèmes de sécurité suivants :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2054";>CVE-2016-2054</a> <p>Le traitement incorrect des entrées fournies par l'utilisateur dans la commande <q>config</q> peut déclencher un dépassement de pile, menant à un déni de service (au moyen du plantage de l'application) ou à l'exécution de code distant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2055";>CVE-2016-2055</a> <p>Le traitement incorrect des entrées fournies par l'utilisateur dans la commande <q>config</q> peut conduire à une fuite d'informations en servant des fichiers de configuration sensibles à un utilisateur distant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2056";>CVE-2016-2056</a> <p>Les commandes traitant la gestion des mots de passe ne valident pas correctement les entrées fournies par l'utilisateur et sont ainsi vulnérables à l'injection de commande shell par un utilisateur distant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2058";>CVE-2016-2058</a> <p>L'échappement incorrect des entrées fournies par l'utilisateur dans les pages web d'état peut être utilisé pour déclencher des attaques réfléchies par script intersite.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.3.0~beta2.dfsg-9.1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets xymon.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-488.data" # $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>L'équipe du suivi à long terme (LTS) de Debian ne peut pas continuer à prendre en charge divers paquets dans le cycle de vie prolongé de Wheezy LTS. Le paquet debian-security-support fournit l'outil check-support-status qui aide à alerter les administrateurs des paquets installés dont le suivi de sécurité est limité ou doit prendre fin prématurément.</p> <p>La version 2016.05.24~deb7u1 de debian-security-support met à jour la liste des paquets bénéficiant d'une prise en charge restreinte dans Wheezy LTS, ajoutant les paquets suivants :</p> <table> <tr><th>Paquet source</th><th>Dernière version prise en charge</th><th>Date de fin de vie</th><th>Informations complémentaires</th></tr> <tr><td>libv8</td><td>3.8.9.20-2</td><td>6 février 2016</td><td><a href="https://lists.debian.org/debian-lts/2015/08/msg00035.html";>https://lists.debian.org/debian-lts/2015/08/msg00035.html</a></td></tr> <tr><td>mediawiki</td><td>1:1.19.20+dfsg-0+deb7u3</td><td>26 avril 2016</td><td><a href="https://www.debian.org/releases/jessie/amd64/release-notes/ch-information.html#mediawiki-security";>https://www.debian.org/releases/jessie/amd64/release-notes/ch-information.html#mediawiki-security</a></td></tr> <tr><td>sogo</td><td>1.3.16-1</td><td>19 mai 2016</td><td><a href="https://lists.debian.org/debian-lts/2016/05/msg00197.html";>https://lists.debian.org/debian-lts/2016/05/msg00197.html</a></td></tr> <tr><td>vlc</td><td>2.0.3-5+deb7u2</td><td>6 février 2016</td><td><a href="https://lists.debian.org/debian-lts/2015/11/msg00049.html";>https://lists.debian.org/debian-lts/2015/11/msg00049.html</a></td></tr> </table> <p>Si vous dépendez de ces paquets sur un système exécutant Debian 7 <q>Wheezy</q>, nous vous recommandons de mettre à niveau vers Debian 8 <q>Jessie</q>, la distribution stable actuelle. Notez néanmoins que la prise en charge de mediawiki est aussi terminée dans Jessie.</p> <p>Nous vous recommandons d'installer le paquet debian-security-support pour vérifier l'état de prise en charge des paquets installés sur le système.</p> <p>Plus d’informations sur Debian LTS peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 2016.05.24~deb7u1 de debian-security-support </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-487.data" # $Id: $
