Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="c3d0d8c606a4fe198e3b29abe33180a29e1b546d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs problèmes de sécurité ont été découverts dans Thunderbird qui
pourraient avoir pour conséquence l'initialisation d'une connexion IMAP non
chiffrée, un déni de service ou, éventuellement, l'exécution de code
arbitraire.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1:68.9.0-1~deb8u2.
<p><b>Remarque</b> : 1:68.9.0esr-1~deb8u2 corrige une erreur de construction
i386 dans 1:68.9.0esr-1~deb8u1 pour le reste identique, téléversé mais pas publié.</p>

<p>Nous vous recommandons de mettre à jour vos paquets thunderbird.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2247.data"
# $Id: $
#use wml::debian::translation-check translation="c8be85c2abbc42079a1c3c735faa7c271ea8ebd5" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Un problème a été découvert dans LinuxTV xawtv avant la version 3.107. La
fonction dev_open() dans v4l-conf.c ne réalise pas suffisamment de vérifications
afin d’empêcher un appelant non privilégié du programme d’ouvrir des chemins non
prévus de système de fichiers. Cela permet à un attaquant local avec accès au
programme v4l-conf setuid-root de tester l’existence de fichiers arbitraires et
de déclencher un « open » sur des fichiers arbitraires avec le mode O_RDWR.
Pour réaliser cela, des composants de chemins relatifs doivent être ajoutés au
chemin du périphérique, comme le montre une commande
v4l-conf -c /dev/../root/.bash_history.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 3.103-3+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xawtv.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2246.data"
# $Id: $
#use wml::debian::translation-check translation="ed01f92afd077896b85601388d54d14e9f1783c7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de régression pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait une régression dans la dernière mise à jour
de Django, le cadriciel de développement web en Python. Le correctif de l’amont
pour CVE-2020-13254 pour les divulgations à l’aide de clés memcached mal formées
pourrait, dans certaines situations, causer une trace de la pile.</p>

<p>Veuillez consulter <tt>https://code.djangoproject.com/ticket/31654</tt> pour
plus d’informations.</p>

<ul>
<li>
<a href="https://security-tracker.debian.org/tracker/CVE-2020-13254";>
CVE-2020-13254 : divulgation potentielle de données à l’aide de clés memcached
mal formées.
</a>

<p>Dans le cas où un dorsal memcached ne réalise pas une validation de clé,
le passage de clés mal formées en cache pourrait aboutir à une collision de clés
et une divulgation potentielle de données. Pour éviter cela, une validation de
clé a été ajoutée dans les dorsaux memcached de cache.</p>
</li>
</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.7.11-1+deb8u10.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2233-2.data"
# $Id: $

Répondre à