Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="345011ff7ec2ffdbb97d4538785c24a1a4bfafc0" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert quâil existait une attaque par traversée de répertoires dans pip, lâinstallateur de paquets Python.</p> <p>Quand une URL était donnée dans une commande dâinstallation, tel quâun en-tête <tt>Content-Disposition</tt> pouvant avoir des composants <tt>../</tt> dans leur nom de fichier, des fichiers locaux arbitraires (par exemple, <tt>/root/.ssh/authorized_keys</tt>) pourraient être écrasés.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-20916">CVE-2019-20916</a> <p>Le paquet pip avant sa version 19.2 pour Python permet une traversée de répertoires quand une URL est indiquée dans une commande dâinstallation, car un en-tête Content-Disposition peut avoir ../ dans un nom de fichier, comme le montre lâécrasement du fichier /root/.ssh/authorized_keys. Cela se produit dans _download_http_url dans _internal/download.py.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 9.0.1-2+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-pip.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2370.data" # $Id: $
#use wml::debian::translation-check translation="6348d9150e64715cf9d6afd4f37474ae2b4efbc8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Wordpress, un cadriciel populaire de gestion de contenu.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-17670">CVE-2019-17670</a> <p>WordPress possède une vulnérabilité SSRF (Serveur Side Request Forgery) due à ce que les chemins de Windows sont mal gérés lors dâune certaine validation dâURL relatif.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-4047">CVE-2020-4047</a> <p>Des utilisateurs authentifiés avec les droits de téléversement (tels que les auteurs) sont capables dâinjecter du JavaScript dans certaines pages jointes à un fichier de média dâune certaine façon. Cela peut conduire à une exécution de script dans le contexte dâun utilisateur ayant plus de droits quand le fichier est vu par eux.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-4048">CVE-2020-4048</a> <p>Dû à un problème dans wp_validate_redirect() et un nettoyage dâURL, un lien arbitraire externe peut être contrefait, conduisant à une redirection ouverte ou inattendue lors dâun clic.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-4049">CVE-2020-4049</a> <p>Lors du téléversement de thème, le nom du dossier de thème peut être contrefait dâune façon qui pourrait conduire à une exécution de JavaScript dans /wp-admin dans la page de thèmes.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-4050">CVE-2020-4050</a> <p>Une mauvaise utilisation de « set-screen-option », la valeur de retour du filtre permet aux champs meta dâutilisateur arbitraire dâêtre sauvegardés. Cela nécessite lâinstallation dâun greffon par un administrateur qui utiliserait mal le greffon. Une fois installé, il peut être exploité par des utilisateurs ayant peu de droits.</p></li> </ul> <p>De plus, cette mise à jour assure que les derniers commentaires ne peuvent être vus quâà partir de messages publics, et corrige la procédure dâactivation dâutilisateur.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 4.7.18+dfsg-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p> <p>Pour disposer d'un état détaillé sur la sécurité de wordpress, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/wordpress">https://security-tracker.debian.org/tracker/wordpress</a>.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2371.data" # $Id: $
#use wml::debian::translation-check translation="3b289c6b6a54e1aeaa5d3778deb6c70daabc6075" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert quâil existait une vulnérabilité dâexécution de code arbitraire dans <a href="https://gruntjs.com/">Grunt</a>, un exécuteur de tâche Javascript. Cela était possible à cause dâun chargement non sûr de documents YAML.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-7729">CVE-2020-7729</a> <p>Le paquet grunt avant la version 1.3.0 était vulnérable à une exécution de code arbitraire à cause de lâutilisation par défaut de la fonction load() au lieu de sa remplaçante sécurisée safeLoad() du paquet js-yaml dans grunt.file.readYAML.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1.0.1-5+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets grunt.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2368.data" # $Id: $
#use wml::debian::translation-check translation="0fe5ca4223c771f1964eb5c85cd8bfbd129673cb" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La communauté de lemonldap-ng a corrigé une vulnérabilité dans les fichiers de configuration par défaut de Nginx (<a href="https://security-tracker.debian.org/tracker/CVE-2020-24660">CVE-2020-24660</a>). Les paquets Debian nâinstallent aucun site par défaut, mais la documentation fournit des exemples non sûrs de configuration de Nginx avant cette version. En cas dâutilisation dâun gestionnaire lemonldap-ng avec Nginx, une vérification des fichiers de configuration sâimpose.</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 1.9.7-3+deb9u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets lemonldap-ng.</p> <p>Pour disposer d'un état détaillé sur la sécurité de lemonldap-ng, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/lemonldap-ng">https://security-tracker.debian.org/tracker/lemonldap-ng</a>.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow" href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2367.data" # $Id: $
#use wml::debian::translation-check translation="051fc5eeca04a4726e5b9b3fc63b3397512b50b2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert quâil existait une vulnérabilité dâutilisation de mémoire après libération lors de lâanalyse de fichiers PHAR, une méthode de mise complète dâapplications PHP dans un seul fichier.</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 7.0.33-0+deb9u9.</p> <p>Nous vous recommandons de mettre à jour vos paquets php7.0.</p> <p>Pour disposer d'un état détaillé sur la sécurité de php7.0, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/php7.0">https://security-tracker.debian.org/tracker/php7.0</a>.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2345.data" # $Id: $