Bonjour,
deux nouvelles annonces de sécurité ont été publiées. En voici une
traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="bfec31e85b5c768b6090e3d383ff90c78075" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS
Il existait une vulnérabilité potentielle d'écriture hors limites dans
pixman, une bibliothèque de manipulation de pixels pour de nombreuses
applications graphiques pour Linux.
https://security-tracker.debian.org/tracker/CVE-2022-44638;>CVE-2022-44638
Dans libpixman dans les versions de Pixman antérieures à 0.42.2, il
existait une écriture hors limites (ou dépassement de tas) dans
rasterize_edges_8, due à un dépassement d'entier dans
pixman_sample_floor_y.
Pour Debian 10 Buster, ce problème a été corrigé dans la version
0.36.0-1+deb10u1.
Nous vous recommandons de mettre à jour vos paquets pixman.
Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3179.data"
# $Id: $
#use wml::debian::translation-check translation="645af6f65572a1f557e647fa59ecac6fbb1d3a5e" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS
Il existait plusieurs vulnérabilités dans Django, un cadriciel populaire
de développement web basé sur Python :
https://security-tracker.debian.org/tracker/CVE-2022-28346;>CVE-2022-28346 :
Un problème a été découvert dans les versions de Django 2.2 antérieures
à 2.2.28, 3.2 antérieures à 3.2.13 et 4.0 antérieures à 4.0.4. Les méthodes
QuerySet.annotate(), aggregate() et extra() sont sujettes à une injection
de code SQL dans les alias de colonnes à l'aide d'un dictionnaire
contrefait (avec une expansion dictionnaire) en tant qu'argument **kwargs
passés à ces méthodes.
https://security-tracker.debian.org/tracker/CVE-2021-45115;>CVE-2021-45115 :
Un problème a été découvert dans les versions de Django 2.2 antérieures
à 2.2.26, 3.2 antérieures à 3.2.11 et 4.0 antérieures à 4.0.1.
UserAttributeSimilarityValidator était exposé une surcharge importante lors
de l'évaluation d'un mot de passe reçu grossi de façon artificielle par
rapport aux valeurs de référence. Dans les cas où l'accès à
l'enregistrement des utilisateurs n'était pas restreint, cela offrait un
vecteur potentiel pour une attaque par déni de service.
https://security-tracker.debian.org/tracker/CVE-2021-45116;>CVE-2021-45116 :
Un problème a été découvert dans les versions de Django 2.2 antérieures
à 2.2.26, 3.2 antérieures à 3.2.11 et 4.0 antérieures à 4.0.1. Du fait de
l'exploitation de la logique de résolution de variable du langage de
gabarits de Django, le filtre de gabarit dictsort était éventuellement
vulnérable à une divulgation d'informations ou à l'appel d'une méthode
imprévue, si une clé contrefaite de façon appropriée était passée.
Pour Debian 10 Buster, ces problèmes ont été corrigés dans la
version 1:1.11.29-1+deb10u3.
Nous vous recommandons de mettre à jour vos paquets python-django.
Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2022/dla-3177.data"
# $Id: $
OpenPGP_signature
Description: OpenPGP digital signature
