Bonjour, le jeudi 11 juin 11:43, bubu a écrit :
>Un détail et suggestion, le jeudi 11 juin 16:58, Grégoire Scano a écrit : >quelques suggestions. Merci à vous deux, intégrés. Les fichiers sont aussi ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml Autre chance de commentaire. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="0f81c1fd3e5f3051ec10c7b021d80edc73ce94d8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert quâil existait deux problèmes dans <a href="https://www.djangoproject.com/">Django</a>, le cadriciel de développement web en Python :</p> <ul> <li> <a href="https://security-tracker.debian.org/tracker/CVE-2020-13254"> CVE-2020-13254 : divulgation potentielle de données à lâaide de clés memcached mal formées.</a> <p>Dans le cas où un dorsal memcached ne réalise pas une validation de clé, le passage de clés mal formées en cache pourrait aboutir à une collision de clés et une divulgation potentielle de données. Pour éviter cela, une validation de clé a été ajoutée dans les dorsaux memcached de cache.</p> </li> <li> <a href="https://security-tracker.debian.org/tracker/CVE-2020-13596"> CVE-2020-13596 : XSS possible à l'aide d'un ForeignKeyRawIdWidget dâadministration. </a> <p>Les paramètres de requête pour le ForeignKeyRawIdWidget dâadministration nâétaient pas proprement encodés pour lâURL, constituant un vecteur dâattaque XSS. ForeignKeyRawIdWidget assure désormais que les paramètres de requête soient correctement encodés pour lâURL.</p> </li> </ul> <p>Pour plus dâinformations, veuillez consulter <a href="https://www.djangoproject.com/weblog/2020/jun/03/security-releases/">lâannonce de lâamont</a>.</p> <p>Cette publication corrige aussi des échecs de test introduits dans <tt>1.7.11-1+deb8u3</tt> et <tt>1.7.11-1+deb8u8</tt> par les correctifs respectifs pour <a href="https://security-tracker.debian.org/tracker/CVE-2019-19844">CVE-2018-7537</a> et <a href="https://security-tracker.debian.org/tracker/CVE-2019-19844">CVE-2019-19844</a>.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.7.11-1+deb8u9.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-django.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2233.data" # $Id: $
#use wml::debian::translation-check translation="044e496ff62bc4ab09480fd9c55ef5bf1de3990e" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Les CVE suivants ont été rapportés concernant src:cups.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8842">CVE-2019-8842</a> <p>La fonction ippReadIO peut lire incomplètement un champ dâextension.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3898">CVE-2020-3898</a> <p>Il existait un dépassement de tampon de tas dans ppdFindOption() de libcups dans ppd-mark.c. La fonction ppdOpen ne gérait pas la restriction dâUI non autorisée. La fonction ppdcSource::get_resolution ne gérait pas les chaînes de résolution non autorisées.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.7.5-11+deb8u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets cups.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2237.data" # $Id: $
#use wml::debian::translation-check translation="f06501c0d28e56630b8ef9e96e180d00ebd26066" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs bogues CVE concernant src:netqmail ont été signalés.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2005-1513">CVE-2005-1513</a> <p>Un dépassement d'entier dans la fonction stralloc_readyplus dans qmail, lors dâune exécution sur une plateforme 64 bits avec une grande utilisation de mémoire virtuelle, permet à des attaquants distants de provoquer un déni de service et, éventuellement, dâexécuter du code arbitraire à l'aide d'une requête SMTP importante.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2005-1514">CVE-2005-1514</a> <p>La fonction commands.c dans qmail, lors dâune exécution sur une plateforme 64 bits avec une grande utilisation de mémoire virtuelle, permet à des attaquants distants de provoquer un déni de service et, éventuellement, dâexécuter du code arbitraire à l'aide d'une longue commande SMTP sans caractère espace, faisant quâun tableau soit référencé avec un indice négatif.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2005-1515">CVE-2005-1515</a> <p>Une erreur dâentiers signés dans les fonctions qmail_put et substdio_put dans qmail, lors dâune exécution sur une plateforme 64 bits avec une grande utilisation de mémoire virtuelle, permet à des attaquants distants de provoquer un déni de service et, éventuellement, dâexécuter du code arbitraire à l'aide d'un grand nombre de commandes SMTP RCPT TO.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3811">CVE-2020-3811</a> <p>La fonction qmail-verify comme utilisée dans netqmail 1.06 est prédisposée à une vulnérabilité de contournement de vérification dâadresse de courriel.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3812">CVE-2020-3812</a> <p>La fonction qmail-verify comme utilisée dans netqmail 1.06 est prédisposée à une vulnérabilité de divulgation d'informations. Un attaquant local peut tester lâexistence des fichiers et répertoires dans tout le système de fichiers car qmail-verify est exécutée en tant quâadministrateur et teste lâexistence de fichiers dans le répertoire utilisateur « home » de lâattaquant, sans diminuer dâabord ses privilèges.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.06-6.2~deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets netqmail.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2234.data" # $Id: $