Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="345011ff7ec2ffdbb97d4538785c24a1a4bfafc0" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Il a été découvert quâil existait une attaque par traversée de répertoires
dans pip, lâinstallateur de paquets Python.
Quand une URL était donnée dans une commande dâinstallation, tel quâun en-tête
Content-Disposition pouvant avoir des composants ../ dans leur
nom de fichier, des fichiers locaux arbitraires (par exemple,
/root/.ssh/authorized_keys) pourraient être écrasés.
https://security-tracker.debian.org/tracker/CVE-2019-20916;>CVE-2019-20916
Le paquet pip avant sa version 19.2 pour Python permet une traversée de
répertoires quand une URL est indiquée dans une commande dâinstallation, car un
en-tête Content-Disposition peut avoir ../ dans un nom de fichier, comme le
montre lâécrasement du fichier /root/.ssh/authorized_keys. Cela se produit dans
_download_http_url dans _internal/download.py.
Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 9.0.1-2+deb9u2.
Nous vous recommandons de mettre à jour vos paquets python-pip.
Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2370.data"
# $Id: $
#use wml::debian::translation-check translation="6348d9150e64715cf9d6afd4f37474ae2b4efbc8" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Plusieurs vulnérabilités ont été découvertes dans Wordpress, un cadriciel
populaire de gestion de contenu.
https://security-tracker.debian.org/tracker/CVE-2019-17670;>CVE-2019-17670
WordPress possède une vulnérabilité SSRF (Serveur Side Request Forgery)
due à ce que les chemins de Windows sont mal gérés lors dâune certaine
validation dâURL relatif.
https://security-tracker.debian.org/tracker/CVE-2020-4047;>CVE-2020-4047
Des utilisateurs authentifiés avec les droits de téléversement (tels que les
auteurs) sont capables dâinjecter du JavaScript dans certaines pages
jointes à un fichier de média dâune certaine façon. Cela peut conduire à une
exécution de script dans le contexte dâun utilisateur ayant plus de droits quand
le fichier est vu par eux.
https://security-tracker.debian.org/tracker/CVE-2020-4048;>CVE-2020-4048
Dû à un problème dans wp_validate_redirect() et un nettoyage dâURL, un lien
arbitraire externe peut être contrefait, conduisant à une redirection
ouverte ou inattendue lors dâun clic.
https://security-tracker.debian.org/tracker/CVE-2020-4049;>CVE-2020-4049
Lors du téléversement de thème, le nom du dossier de thème peut être
contrefait dâune façon qui pourrait conduire à une exécution de JavaScript dans
/wp-admin dans la page de thèmes.
https://security-tracker.debian.org/tracker/CVE-2020-4050;>CVE-2020-4050
Une mauvaise utilisation de « set-screen-option », la valeur de retour du
filtre permet aux champs meta dâutilisateur arbitraire dâêtre sauvegardés. Cela
nécessite lâinstallation dâun greffon par un administrateur qui utiliserait mal
le greffon. Une fois installé, il peut être exploité par des utilisateurs ayant
peu de droits.
De plus, cette mise à jour assure que les derniers commentaires ne peuvent
être vus quâà partir de messages publics, et corrige la procédure dâactivation
dâutilisateur.
Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 4.7.18+dfsg-1+deb9u1.
Nous vous recommandons de mettre à jour vos paquets wordpress.
Pour disposer d'un état détaillé sur la sécurité de wordpress, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/wordpress;>https://security-tracker.debian.org/tracker/wordpress.
Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2371.data"
# $Id: $
#use wml::debian::translation-check translation="3b289c6b6a54e1aeaa5d3778deb6c70daabc6075" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Il a été découvert quâil existait une vulnérabilité dâexécution de code