Re: [RFR] wml://lts/security/2020/dla-223{3-9}.wml

2020-06-11 Par sujet bubu
Bonjour,

Le 11/06/2020 à 09:57, JP Guillonneau a écrit :
> Bonjour,
>
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml
>
> Merci d’avance pour vos relectures.
>
> Amicalement.
>
> --
> Jean-Paul

Un détail et suggestion,

amicalement,

bubu

--- dla-2233.wml	2020-06-11 11:32:46.443733606 +0200
+++ dla-2233.relu.wml	2020-06-11 11:35:34.749484414 +0200
@@ -14,7 +14,7 @@
 
 Dans le cas où un dorsal memcached ne réalise pas une validation de clé,
 le passage de clés mal formées en cache pourrait aboutir à une collision de clés
-et un divulgation potentielle de données. Pour éviter cela, une validation de
+et une divulgation potentielle de données. Pour éviter cela, une validation de
 clé a été ajoutée dans les dorsaux memcached de cache.
 
 
@@ -25,7 +25,7 @@
 
 Les paramètres de requête pour ForeignKeyRawIdWidget d’administration
 n’étaient pas proprement encodés pour l’URL, constituant un vecteur d’attaque
-XSS. ForeignKeyRawIdWidget désormais assure que les paramètres de requête soient
+XSS. ForeignKeyRawIdWidget assure désormais que les paramètres de requête soient
 correctement encodés pour l’URL.
 
 


Re: [RFR] wml://lts/security/2020/dla-223{3-9}.wml

2020-06-11 Par sujet Grégoire Scano
Bonjour,

On 6/11/20 3:57 PM, JP Guillonneau wrote:
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

quelques suggestions.

Bien cordialement,
Grégoire
--- dla-2233.wml	2020-06-11 16:49:09.857895530 +0800
+++ gregoire.dla-2233.wml	2020-06-11 16:53:52.662655811 +0800
@@ -23,9 +23,9 @@
 d’administration.
 
 
-Les paramètres de requête pour ForeignKeyRawIdWidget d’administration
+Les paramètres de requête pour le ForeignKeyRawIdWidget d’administration
 n’étaient pas proprement encodés pour l’URL, constituant un vecteur d’attaque
-XSS. ForeignKeyRawIdWidget désormais assure que les paramètres de requête soient
+XSS. ForeignKeyRawIdWidget assure désormais que les paramètres de requête soient
 correctement encodés pour l’URL.
 
 
--- dla-2234.wml	2020-06-11 16:49:06.657822149 +0800
+++ gregoire.dla-2234.wml	2020-06-11 16:56:45.911222183 +0800
@@ -41,7 +41,7 @@
 une vulnérabilité de divulgation d'informations. Un attaquant local peut
 tester l’existence des fichiers et répertoires dans tout le système de fichiers
 car qmail-verify est exécutée en tant qu’administrateur et teste l’existence de
-fichiers dans le répertoire home de l’attaquant, sans diminuer d’abord ses
+fichiers dans le répertoire utilisateur « home » de l’attaquant, sans diminuer d’abord ses
 privilèges.
 
 
--- dla-2237.wml	2020-06-11 16:48:56.833597218 +0800
+++ gregoire.dla-2237.wml	2020-06-11 16:51:06.604608288 +0800
@@ -15,7 +15,7 @@
 Il existait un dépassement de tampon de tas dans ppdFindOption() de libcups
 dans ppd-mark.c. La fonction ppdOpen ne gérait pas la restriction d’UI non
 autorisée. La fonction ppdcSource::get_resolution ne gérait pas les chaînes de
-résolution non autorisée.
+résolution non autorisées.
 
 
 


[RFR] wml://lts/security/2020/dla-223{3-9}.wml

2020-06-11 Par sujet JP Guillonneau
Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="bdf9b5119711c864f3b7e07f60cfe46fa05894b9" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Il a été découvert qu’il existait un problème dans libpam-tacplus (un module
de sécurité pour le service d’authentification TACACS+) où les secrets partagés
tels que les clés privées de serveur étaient ajoutées en clair dans divers
journaux.



https://security-tracker.debian.org/tracker/CVE-2020-13881;>CVE-2020-13881

Il a été découvert qu’il existait un problème dans libpam-tacplus (un module
de sécurité pour le service d’authentification TACACS+) où les secrets partagés
tels que les clés privées de serveur étaient ajoutées en clair dans divers
journaux.




Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 1.3.8-2+deb8u1.

Nous vous recommandons de mettre à jour vos paquets libpam-tacplus.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2239.data"
# $Id: $
#use wml::debian::translation-check translation="8edc5cf84759f795b4ebb7d1eb6715eabb955363" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Libupnp, le SDK portable pour les périphériques UPnP permet à des attaquants
distants de provoquer un déni de service (plantage) à l'aide d'un message SSDP
contrefait à cause d’un déréférencement de pointeur NULL dans les fonctions
FindServiceControlURLPath et FindServiceEventURLPath dans
genlib/service_table/service_table.c. Ce plantage peut être provoqué en envoyant
un SUBSCRIBE ou UNSUBSCRIBE mal formé en utilisant n’importe quel fichier joint.

Pour Debian 8 Jessie, ce problème a été corrigé dans
la version 1.6.19+git20141001-1+deb8u2.

Nous vous recommandons de mettre à jour vos paquets libupnp.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2238.data"
# $Id: $
#use wml::debian::translation-check translation="044e496ff62bc4ab09480fd9c55ef5bf1de3990e" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Les CVE suivants ont été rapportés concernant src:cups.



https://security-tracker.debian.org/tracker/CVE-2019-8842;>CVE-2019-8842

La fonction ippReadIO peut lire incomplètement un champ d’extension.

https://security-tracker.debian.org/tracker/CVE-2020-3898;>CVE-2020-3898

Il existait un dépassement de tampon de tas dans ppdFindOption() de libcups
dans ppd-mark.c. La fonction ppdOpen ne gérait pas la restriction d’UI non
autorisée. La fonction ppdcSource::get_resolution ne gérait pas les chaînes de
résolution non autorisée.



Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 1.7.5-11+deb8u8.

Nous vous recommandons de mettre à jour vos paquets cups.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2237.data"
# $Id: $
#use wml::debian::translation-check translation="bbc365d099412656bba84a2ba6512638df131d04" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Une vulnérabilité a été découverte dans graphicsmagick, une collection
d’outils de traitement d’image, conduisant à un écrasement du tampon de tas lors
de l’agrandissement d’images MNG.

Pour Debian 8 Jessie, ce problème a été corrigé dans
la version 1.3.20-3+deb8u11.

Nous vous recommandons de mettre à jour vos paquets graphicsmagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2236.data"
# $Id: $
#use wml::debian::translation-check translation="8ca2f9ee4f77953d340bf460e23918f2a3b96785"