Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="43410f66f58139428427baec12278be919a5d05f" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans la bibliothèque Oniguruma dâexpressions bibliothèque rationnelles, surtout utilisée dans des chaînes multi-octets (mbstring) PHP.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-13224">CVE-2019-13224</a> <p>Une utilisation de mémoire après libération dans onig_new_deluxe() dans regext.c permet à des attaquants de provoquer une divulgation éventuelle d'informations, un déni de service, ou, éventuellement, une exécution de code en fournissant des expressions rationnelles contrefaites. Lâattaquant fournit une paire dâexpression rationnelle et de chaîne, avec un encodage multi-octet, géré par onig_new_deluxe().</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-16163">CVE-2019-16163</a> <p>Oniguruma permet un épuisement de pile dans regcomp.c à cause dâune récursion dans regparse.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-19012">CVE-2019-19012</a> <p>Un dépassement d'entier dans la fonction search_in_range dans regexec.c dans Onigurama conduit à une lecture hors limites, dans laquelle le décalage de cette lecture est sous le contrôle de lâattaquant. Cela touche uniquement la version compilée en 32 bits. Des attaquants distants peuvent provoquer un déni de service ou une divulgation d'informations, ou, éventuellement, avoir un impact non précisé, à l'aide d'une expression rationnelle contrefaite.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-19203">CVE-2019-19203</a> <p>Un problème a été découvert dans Oniguruma. Dans la fonction gb18030_mbc_enc_len dans le fichier gb18030.c, un pointeur UChar est déréférencé sans vérifier sâil dépasse la chaîne mise en correspondance. Cela conduit à une lecture hors limites de tampon de tas.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-19204">CVE-2019-19204</a> <p>Un problème a été découvert dans Oniguruma. Dans la fonction fetch_interval_quantifier (anciennement connue comme fetch_range_quantifier) dans regparse.c, PFETCH est appelé sans vérification de PEND. Cela conduit à une lecture hors limites de tampon de tas.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-19246">CVE-2019-19246</a> <p>Oniguruma possède une lecture hors limites de tampon de tas dans str_lower_case_match dans regexec.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-26159">CVE-2020-26159</a> <p>Dans Oniguruma, un attaquant capable de fournir une expression rationnelle pour la compilation peut outrepasser un tampon dâun byte dans concat_opt_exact_str dans src/regcomp.c</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 6.1.3-2+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libonig.</p> <p>Pour disposer d'un état détaillé sur la sécurité de libonig, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/libonig">https://security-tracker.debian.org/tracker/libonig</a>.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2431.data" # $Id: $
#use wml::debian::translation-check translation="1a846c56ca9e5e714666f5d1ae8673f86a4cb176" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Vaisha Bernard a découvert que Blueman, un gestionnaire graphique pour bluetooth réalisait une validation insuffisante dâune interface D-Bus. Cela pourrait aboutir à un déni de service ou à une élévation des privilèges.</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 2.0.4-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets blueman.</p> <p>Pour disposer d'un état détaillé sur la sécurité de blueman, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/blueman">https://security-tracker.debian.org/tracker/blueman</a>.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2430.data" # $Id: $
#use wml::debian::translation-check translation="14745a0412e79a9104fb5a5c3db444fee2a8c3d2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités on été signalées à lâencontre de wordpress :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28032">CVE-2020-28032</a> <p>WordPress avant la version 4.7.19 gère incorrectement les requêtes de désérialisation dans wp-includes/Requests/Utility/FilteredIterator.php.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28033">CVE-2020-28033</a> <p>WordPress avant la version 4.7.19 gère incorrectement les encapsulations des sites désactivés dâun réseau multisite, comme le montre lâautorisation dâun pourriel encapsulé.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28034">CVE-2020-28034</a> <p>WordPress avant la version 4.7.19 permet un script intersite (XSS) associé avec des variables globales.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28035">CVE-2020-28035</a> <p>WordPress avant la version 4.7.19 permet à des attaquants dâélever leurs privilèges à lâaide du protocole XML-RPC.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28036">CVE-2020-28036</a> <p>wp-includes/class-wp-xmlrpc-server.php dans WordPress avant la version 4.7.19 permet à des attaquants dâélever leurs privilèges en utilisant le protocole XML-RPC pour commenter une publication.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28037">CVE-2020-28037</a> <p>is_blog_installed dans wp-includes/functions.php dans WordPress avant la version 4.7.19 détermine improprement si WordPress est déjà installé. Cela pourrait permettre à un attaquant de réaliser une nouvelle installation, conduisant à une exécution de code à distance (ainsi quâà un déni de service pour lâancienne installation).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28038">CVE-2020-28038</a> <p>WordPress avant la version 4.7.19 permet le stockage dâXSS à lâaide dâidentifiants (slugs) de publication.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28039">CVE-2020-28039</a> <p>is_protected_meta dans wp-includes/meta.php dans WordPress avant la version 4.7.19 permet une suppression de fichier arbitraire car il ne détermine pas correctement si une clé méta est considérée comme protégée.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28040">CVE-2020-28040</a> <p>WordPress avant la version 4.7.19 permet des attaques CSRF changeant lâimage dâarrière-plan de thème.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 4.7.19+dfsg-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p> <p>Pour disposer d'un état détaillé sur la sécurité de wordpress, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/wordpress">https://security-tracker.debian.org/tracker/wordpress</a>.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2429.data" # $Id: $