Re: [RFR] wml://security/2020/dsa-4773.wml

2020-10-22 Par sujet Grégoire Scano
Bonjour,

On 10/18/20 5:10 PM, Jean-Pierre Giraud wrote:
> Une nouvelle annonce de sécurité vient d'être publiée. En voici une
> traduction. Merci d'avance pour vos relectures.

rien à signaler.

Bien cordialement,
Grégoire



[RFR] wml://security/2020/dsa-4773.wml

2020-10-18 Par sujet Jean-Pierre Giraud
Bonjour,

Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="7c87d7393452c5b5f751f8802a32709ff0440f1d" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Deux vulnérabilités ont été découvertes dans yaws, un serveur web
HTTP 1.1 très performant écrit en Erlang.



https://security-tracker.debian.org/tracker/CVE-2020-24379;>CVE-2020-24379

L'implémentation de WebDAV est prédisposée à une vulnérabilité
d'injection d'entités externes XML (XXE).

https://security-tracker.debian.org/tracker/CVE-2020-24916;>CVE-2020-24916

L'implémentation de CGI ne nettoyait pas correctement les requêtes CGI
permettant à un attaquant distant d'exécuter des commandes d'interpréteur
arbitraires au moyen de noms d'exécutables CGI contrefaits pour l'occasion.



Pour la distribution stable (Buster), ces problèmes ont été corrigés
dans la version 2.0.6+dfsg-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets yaws.

Pour disposer d'un état détaillé sur la sécurité de yaws, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/yaws;>\
https://security-tracker.debian.org/tracker/yaws.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2020/dsa-4773.data"
# $Id: $