Re: [RFR] wml://lts/security/2020/dla-2{379-3,463,464,465}.wml

[Grégoire Scano]

Bonjour,

On 11/24/20 11:31 PM, bubu wrote:
> 
> un doute,
> 
> Le 24/11/2020 à 09:41, JP Guillonneau a écrit :
>> Ces annonces de sécurité ont été publiées.
>> Les fichiers sont aussi disponibles ici :
>> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
>>
>> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

quelques suggestions supplémentaires.

Bien cordialement,
Grégoire

--- dla-2463.wml	2020-11-26 12:54:07.167824649 +0800
+++ gregoire.dla-2463.wml	2020-11-26 12:58:09.696801709 +0800
@@ -36,8 +36,8 @@
 
 https://security-tracker.debian.org/tracker/CVE-2020-14303;>CVE-2020-14303
 
-Déni de service suite à une attente du CPU et son incapacité à traiter les
-requêtes suivantes une fois que le serveur AD DC NBT ait reçu un paquet UDP
+Déni de service suite à une attente du CPU et à son incapacité à traiter les
+requêtes suivantes une fois que le serveur AD DC NBT a reçu un paquet UDP
 vide (longueur zéro) sur le port 137.
 
 https://security-tracker.debian.org/tracker/CVE-2020-14318;>CVE-2020-14318
@@ -46,7 +46,7 @@
 
 https://security-tracker.debian.org/tracker/CVE-2020-14323;>CVE-2020-14323
 
-Utilisateur non privilégié pouvant planter  winbind à l’aide de lookupsids
+Utilisateur non privilégié pouvant planter winbind à l’aide de lookupsids
 DOS non valables
 
 https://security-tracker.debian.org/tracker/CVE-2020-14383;>CVE-2020-14383
--- dla-2465.wml	2020-11-26 12:53:59.035538593 +0800
+++ gregoire.dla-2465.wml	2020-11-26 12:56:09.232252260 +0800
@@ -11,7 +11,7 @@
 https://security-tracker.debian.org/tracker/CVE-2020-28948;>CVE-2020-28948
 
 Archive_Tar jusqu’à la version 1.4.10 permet une attaque par désérialisation
-car phar: est bloqué mais PHAR: ne l’est pas.
+car « phar: » est bloqué mais « PHAR: » ne l’est pas.
 
 https://security-tracker.debian.org/tracker/CVE-2020-28949;>CVE-2020-28949
 

Re: [RFR] wml://lts/security/2020/dla-2{379-3,463,464,465}.wml

[bubu]

bonjour,

un doute,

amicalement,

bubu

Le 24/11/2020 à 09:41, JP Guillonneau a écrit :

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.
--- dla-2464.wml	2020-11-24 16:27:54.353380909 +0100
+++ dla-2464.relu.wml	2020-11-24 16:29:03.320445742 +0100
@@ -2,7 +2,7 @@
 Mise à jour de sécurité pour LTS
 
 Plusieurs problèmes de sécurité ont été découverts dans Thunderbird.
-Cela peut permettre l’exécution de code arbitraire ou déni de service.
+Cela peut permettre l’exécution de code arbitraire ou un déni de service.
 
 Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
 la version 1:78.5.0-1~deb9u1.

[RFR] wml://lts/security/2020/dla-2{379-3,463,464,465}.wml

[JP Guillonneau]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.
#use wml::debian::translation-check translation="e5ddd80a868f614ed40d5dfed75813f1cfa79825" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Il a été découvert qu’il existait un problème de nettoyage de nom de fichier
dans php-pear, un système de publication pour des composants PHP
réutilisables.



https://security-tracker.debian.org/tracker/CVE-2020-28948;>CVE-2020-28948

Archive_Tar jusqu’à la version 1.4.10 permet une attaque par désérialisation
car phar: est bloqué mais PHAR: ne l’est pas.

https://security-tracker.debian.org/tracker/CVE-2020-28949;>CVE-2020-28949

Archive_Tar jusqu’à la version 1.4.10 avait un nettoyage de nom de fichier
:// seulement pour contrer les attaques de phar, et par conséquent n’importe
quelle attaque par enveloppe de flux (telle que file:// pour écraser des
fichiers) peut encore réussir.



Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 1:1.10.1+submodules+notgz-9+deb9u2.

Nous vous recommandons de mettre à jour vos paquets php-pear.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2465.data"
# $Id: $
#use wml::debian::translation-check translation="5f95ab6d108e9b7ed637e9f06ca2fb4092b6b5a0" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs problèmes de sécurité ont été découverts dans Thunderbird.
Cela peut permettre l’exécution de code arbitraire ou déni de service.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 1:78.5.0-1~deb9u1.

Nous vous recommandons de mettre à jour vos paquets thunderbird.

Pour disposer d'un état détaillé sur la sécurité de thunderbird, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/thunderbird;>https://security-tracker.debian.org/tracker/thunderbird.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2464.data"
# $Id: $
#use wml::debian::translation-check translation="81bb16a1bc882871b51a2e86a7002ab1eec224a8" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans Samba, un serveur de
fichiers SMB/CIFS, d'impression et de connexion pour Unix.



https://security-tracker.debian.org/tracker/CVE-2020-1472;>CVE-2020-1472

Contrôleur de domaine non authentifié compromis par un contournement du
chiffrement de Netlogon. Cette vulnérabilité inclut les versions ZeroLogon et
non ZeroLogon.

https://security-tracker.debian.org/tracker/CVE-2020-10704;>CVE-2020-10704

Un utilisateur non autorisé peut déclencher un déni de service à l'aide d'un
débordement de pile dans le serveur AD DC LDAP.

https://security-tracker.debian.org/tracker/CVE-2020-10730;>CVE-2020-10730

Déréférencement de pointeur NULL et utilisation de mémoire après libération
dans le serveur AD DC LDAP avec ASQ, VLV et paged_results.

https://security-tracker.debian.org/tracker/CVE-2020-10745;>CVE-2020-10745

Déni de service suite à l’exploitation de compression de réponse à NetBIOS
lors d’une réponse de résolution de nom à travers TCP/IP et des paquets DNS,
provoquant une charge excessive de CPU pour le service AD DC de Samba.

https://security-tracker.debian.org/tracker/CVE-2020-10760;>CVE-2020-10760

L’utilisation de paged_results ou de contrôles VLV avec le serveur LDAP
Global Catalog dans le service AD DC peut causer une utilisation de mémoire
après libération.

https://security-tracker.debian.org/tracker/CVE-2020-14303;>CVE-2020-14303

Déni de service suite à une attente du CPU et son incapacité à traiter les
requêtes suivantes une fois que le serveur AD DC NBT ait reçu un paquet UDP
vide (longueur zéro) sur le port 137.

https://security-tracker.debian.org/tracker/CVE-2020-14318;>CVE-2020-14318

Vérification manquante des permissions de gestionnaire dans ChangeNotify

https://security-tracker.debian.org/tracker/CVE-2020-14323;>CVE-2020-14323

Utilisateur non privilégié pouvant planter  winbind à l’aide de lookupsids
DOS non valables