Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="63fb49d20e3a3b58d171e1ecdd6f0aeab79d2c7d" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Tenable a découvert que dans Babel, un ensemble d’outils pour
l’internationalisation d’applications Python, Babel.Locale permet à des
attaquants de charger des fichiers arbitraires locaux .dat (contenant des
objets Python sérialisés) à l’aide d’une traversée de répertoires, conduisant
à une exécution de code. Cette vulnérabilité était précédemment corrigée dans
le https://security-tracker.debian.org/tracker/CVE-2021-20095;>CVE-2021-20095
dans d’autres distributions et suites.
Pour Debian 9 « Stretch », ce problème a été corrigé dans
la version 2.3.4+dfsg.1-2+deb9u1.
Nous vous recommandons de mettre à jour vos paquets python-babel.
Pour disposer d'un état détaillé sur la sécurité de python-babel,
veuillez consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/python-babel;>\
https://security-tracker.debian.org/tracker/python-babel.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2790.data"
# $Id: $
#use wml::debian::translation-check translation="c3c3735a1531453cc90c4ede5a792d1252a5ccd7" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Richard Weinberger a signalé qu’unsquashfs dans squashfs-tools, des outils
’ur créer et extraire des systèmes de fichiers Squashfs, ne vérifie pas si
des noms de fichier sont dupliqués dans un répertoire. Un attaquant peut
exploiter ce défaut pour écrire des fichiers arbitraires si une image Squashfs
mal formée est traitée.
Pour Debian 9 « Stretch », ce problème a été corrigé dans
la version 1:4.3-3+deb9u3.
Nous vous recommandons de mettre à jour vos paquets squashfs-tools.
Pour disposer d'un état détaillé sur la sécurité de squashfs-tools,
veuillez consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/squashfs-tools;>\
https://security-tracker.debian.org/tracker/squashfs-tools.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2789.data"
# $Id: $
#use wml::debian::translation-check translation="4633aacd3c2b66b04edd0587650980deeb1700f0" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Une régression a été introduite dans la DLA-2768-1, où le module mandataire
uwsgi pour Apache2 (mod_uwsgi) interprète des configurations d’Apache
d’une façon moins stricte, provoquant l’échec de configurations existantes
après une mise à niveau.
Pour Debian 9 « Stretch », ce problème a été corrigé dans
la version 2.0.14+20161117-3+deb9u5.
Nous vous recommandons de mettre à jour vos paquets uwsgi.
Pour disposer d'un état détaillé sur la sécurité de uwsgi,
veuillez consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/uwsgi;>\
https://security-tracker.debian.org/tracker/uwsgi.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2768-2.data"
# $Id: $
#use wml::debian::translation-check translation="2820c547cb66eae00ee7417318df5861854fec84" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
La mise à jour de sécurité pour smarty3, le moteur de patrons pour PHP,
publiée dans l’annonce DLA 2618-1 introduisait une régression dans la classe
smarty_security lorsque des répertoires sûrs étaient évalués. Des paquets
smarty3 sont désormais disponibles pour corriger ce problème.
Pour Debian 9 « Stretch », ce problème a été corrigé dans
la version 3.1.31+20161214.1.c7d42e4+selfpack1-2+deb9u4.
Nous vous recommandons de mettre à jour vos paquets smarty3.
Pour disposer d'un état détaillé sur la sécurité de smarty3,
veuillez consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/smarty3;>\
https://security-tracker.debian.org/tracker/smarty3.
Plus
