Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="8d550f7ec9637746917dd8638345ec9c4fe121b2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cyku Hong de DEVCORE a découvert que php-nette, un cadriciel MVC PHP, est vulnérable à une attaque par injection de code en passant des paramètres spécialement constitués à l’URL, conduisant éventuellement à une exécution de code à distance.</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 2.4-20160731-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets php-nette.</p> <p>Pour disposer d'un état détaillé sur la sécurité de php-nette, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/php-nette">\ https://security-tracker.debian.org/tracker/php-nette</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2617.data" # $Id: $
#use wml::debian::translation-check translation="bfb9d0ec9052de9c60ec367a3a8c7c7091f3e49d" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Dans XStream, il existait une vulnérabilité qui pouvait permettre à un attaquant distant de charger et d’exécuter du code arbitraire à partir d’un hôte distant simplement en manipulant le flux d’entrée traité.</p> <p>Les hiérarchies de types pour java.io.InputStream, java.nio.channels.Channel, javax.activation.DataSource et javax.sql.rowsel.BaseRowSet sont désormais mises en liste noire ainsi que les types particuliers com.sun.corba.se.impl.activation.ServerTableEntry, com.sun.tools.javac.processing.JavacProcessingEnvironment$NameProcessIterator, sun.awt.datatransfer.DataTransferer$IndexOrderComparator et sun.swing.SwingLazyValue. De plus le type interne Accessor$GetterSetterReflection de JAXB, les types internes MethodGetter$PrivilegedGetter et ServiceFinder$ServiceNameIterator de JAX-WS, toutes les classes internes de javafx.collections.ObservableList et un chargeur de classe interne utilisé dans une copie privée BCEL font désormais partie de la liste noire par défaut et la désérialisation de XML contenant un de ces types échouera. Vous devez autoriser ces types à l’aide d’une configuration explicite si vous en avez besoin.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1.4.11.1-1+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libxstream-java.</p> <p>Pour disposer d'un état détaillé sur la sécurité de libxstream-java, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/libxstream-java">\ https://security-tracker.debian.org/tracker/libxstream-java</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2616.data" # $Id: $
#use wml::debian::translation-check translation="7a08138c061c31448da5b1d7a6d1f01b7ceb1ca9" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Le décompresseur gunzip de Busybox, un ensemble d’utilitaires pour des systèmes petits et embarqués, gère de manière incorrecte le bit d’erreur sur le pointeur du résultat de huft_build, aboutissant à une libération non valable ou à une erreur de segmentation, à l’aide de données gzip malformées.</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 1:1.22.0-19+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets busybox.</p> <p>Pour disposer d'un état détaillé sur la sécurité de busybox, veuillez consulter sa page de suivi de sécurité à l'adresse: <a rel="nofollow" href="https://security-tracker.debian.org/tracker/busybox">\ https://security-tracker.debian.org/tracker/busybox</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2614.data" # $Id: $