Re: [RFR] wml://lts/security/2020/dla-223{3-9}.wml
Bonjour, Le 11/06/2020 à 09:57, JP Guillonneau a écrit : > Bonjour, > > Ces annonces de sécurité ont été publiées. > Les fichiers sont aussi disponibles ici : > https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml > https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml > > Merci d’avance pour vos relectures. > > Amicalement. > > -- > Jean-Paul Un détail et suggestion, amicalement, bubu --- dla-2233.wml 2020-06-11 11:32:46.443733606 +0200 +++ dla-2233.relu.wml 2020-06-11 11:35:34.749484414 +0200 @@ -14,7 +14,7 @@ Dans le cas où un dorsal memcached ne réalise pas une validation de clé, le passage de clés mal formées en cache pourrait aboutir à une collision de clés -et un divulgation potentielle de données. Pour éviter cela, une validation de +et une divulgation potentielle de données. Pour éviter cela, une validation de clé a été ajoutée dans les dorsaux memcached de cache. @@ -25,7 +25,7 @@ Les paramètres de requête pour ForeignKeyRawIdWidget d’administration n’étaient pas proprement encodés pour l’URL, constituant un vecteur d’attaque -XSS. ForeignKeyRawIdWidget désormais assure que les paramètres de requête soient +XSS. ForeignKeyRawIdWidget assure désormais que les paramètres de requête soient correctement encodés pour l’URL.
Re: [RFR] wml://lts/security/2020/dla-223{3-9}.wml
Bonjour, On 6/11/20 3:57 PM, JP Guillonneau wrote: > Ces annonces de sécurité ont été publiées. > Les fichiers sont aussi disponibles ici : > https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml > https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml quelques suggestions. Bien cordialement, Grégoire --- dla-2233.wml 2020-06-11 16:49:09.857895530 +0800 +++ gregoire.dla-2233.wml 2020-06-11 16:53:52.662655811 +0800 @@ -23,9 +23,9 @@ d’administration. -Les paramètres de requête pour ForeignKeyRawIdWidget d’administration +Les paramètres de requête pour le ForeignKeyRawIdWidget d’administration n’étaient pas proprement encodés pour l’URL, constituant un vecteur d’attaque -XSS. ForeignKeyRawIdWidget désormais assure que les paramètres de requête soient +XSS. ForeignKeyRawIdWidget assure désormais que les paramètres de requête soient correctement encodés pour l’URL. --- dla-2234.wml 2020-06-11 16:49:06.657822149 +0800 +++ gregoire.dla-2234.wml 2020-06-11 16:56:45.911222183 +0800 @@ -41,7 +41,7 @@ une vulnérabilité de divulgation d'informations. Un attaquant local peut tester l’existence des fichiers et répertoires dans tout le système de fichiers car qmail-verify est exécutée en tant qu’administrateur et teste l’existence de -fichiers dans le répertoire home de l’attaquant, sans diminuer d’abord ses +fichiers dans le répertoire utilisateur « home » de l’attaquant, sans diminuer d’abord ses privilèges. --- dla-2237.wml 2020-06-11 16:48:56.833597218 +0800 +++ gregoire.dla-2237.wml 2020-06-11 16:51:06.604608288 +0800 @@ -15,7 +15,7 @@ Il existait un dépassement de tampon de tas dans ppdFindOption() de libcups dans ppd-mark.c. La fonction ppdOpen ne gérait pas la restriction d’UI non autorisée. La fonction ppdcSource::get_resolution ne gérait pas les chaînes de -résolution non autorisée. +résolution non autorisées.
[RFR] wml://lts/security/2020/dla-223{3-9}.wml
Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="bdf9b5119711c864f3b7e07f60cfe46fa05894b9" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Il a été découvert quâil existait un problème dans libpam-tacplus (un module de sécurité pour le service dâauthentification TACACS+) où les secrets partagés tels que les clés privées de serveur étaient ajoutées en clair dans divers journaux. https://security-tracker.debian.org/tracker/CVE-2020-13881";>CVE-2020-13881 Il a été découvert quâil existait un problème dans libpam-tacplus (un module de sécurité pour le service dâauthentification TACACS+) où les secrets partagés tels que les clés privées de serveur étaient ajoutées en clair dans divers journaux. Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.3.8-2+deb8u1. Nous vous recommandons de mettre à jour vos paquets libpam-tacplus. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2239.data" # $Id: $ #use wml::debian::translation-check translation="8edc5cf84759f795b4ebb7d1eb6715eabb955363" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Libupnp, le SDK portable pour les périphériques UPnP permet à des attaquants distants de provoquer un déni de service (plantage) à l'aide d'un message SSDP contrefait à cause dâun déréférencement de pointeur NULL dans les fonctions FindServiceControlURLPath et FindServiceEventURLPath dans genlib/service_table/service_table.c. Ce plantage peut être provoqué en envoyant un SUBSCRIBE ou UNSUBSCRIBE mal formé en utilisant nâimporte quel fichier joint. Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.6.19+git20141001-1+deb8u2. Nous vous recommandons de mettre à jour vos paquets libupnp. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2238.data" # $Id: $ #use wml::debian::translation-check translation="044e496ff62bc4ab09480fd9c55ef5bf1de3990e" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Les CVE suivants ont été rapportés concernant src:cups. https://security-tracker.debian.org/tracker/CVE-2019-8842";>CVE-2019-8842 La fonction ippReadIO peut lire incomplètement un champ dâextension. https://security-tracker.debian.org/tracker/CVE-2020-3898";>CVE-2020-3898 Il existait un dépassement de tampon de tas dans ppdFindOption() de libcups dans ppd-mark.c. La fonction ppdOpen ne gérait pas la restriction dâUI non autorisée. La fonction ppdcSource::get_resolution ne gérait pas les chaînes de résolution non autorisée. Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.7.5-11+deb8u8. Nous vous recommandons de mettre à jour vos paquets cups. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2237.data" # $Id: $ #use wml::debian::translation-check translation="bbc365d099412656bba84a2ba6512638df131d04" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Une vulnérabilité a été découverte dans graphicsmagick, une collection dâoutils de traitement dâimage, conduisant à un écrasement du tampon de tas lors de lâagrandissement dâimages MNG. Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.3.20-3+deb8u11. Nous vous recommandons de mettre à jour vos paquets graphicsmagick. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2236.data" # $Id: $ #use wml::debian::translation-check translation="8ca2f9ee4f77953d340bf460e23918f2a3b9