[RFR2] wml://lts/security/2020/dla-223{3-9}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

le jeudi 11 juin 11:43, bubu a écrit :

>Un détail et suggestion,

le jeudi 11 juin 16:58, Grégoire Scano a écrit :

>quelques suggestions.

Merci à vous deux, intégrés.

Les fichiers sont aussi ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Autre chance de commentaire.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="0f81c1fd3e5f3051ec10c7b021d80edc73ce94d8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert quâ??il existait deux problèmes dans
<a href="https://www.djangoproject.com/";>Django</a>, le cadriciel de
développement web en Python :</p>

<ul>
<li>
<a href="https://security-tracker.debian.org/tracker/CVE-2020-13254";>
CVE-2020-13254 : divulgation potentielle de données à  lâ??aide de clés memcached
mal formées.</a>

<p>Dans le cas où un dorsal memcached ne réalise pas une validation de clé,
le passage de clés mal formées en cache pourrait aboutir à une collision de clés
et une divulgation potentielle de données. Pour éviter cela, une validation de
clé a été ajoutée dans les dorsaux memcached de cache.</p>
</li>
<li>
<a href="https://security-tracker.debian.org/tracker/CVE-2020-13596";>
CVE-2020-13596 : XSS possible à l'aide d'un ForeignKeyRawIdWidget
dâ??administration.
</a>

<p>Les paramètres de requête pour le ForeignKeyRawIdWidget dâ??administration
nâ??étaient pas proprement encodés pour lâ??URL, constituant un vecteur dâ??attaque
XSS. ForeignKeyRawIdWidget assure désormais que les paramètres de requête soient
correctement encodés pour lâ??URL.</p>
</li>
</ul>

<p>Pour plus dâ??informations, veuillez consulter
<a href="https://www.djangoproject.com/weblog/2020/jun/03/security-releases/";>lâ??annonce
de lâ??amont</a>.</p>

<p>Cette publication corrige aussi des échecs de test introduits dans
<tt>1.7.11-1+deb8u3</tt> et <tt>1.7.11-1+deb8u8</tt> par les correctifs
respectifs pour
<a href="https://security-tracker.debian.org/tracker/CVE-2019-19844";>CVE-2018-7537</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2019-19844";>CVE-2019-19844</a>.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.7.11-1+deb8u9.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2233.data"
# $Id: $

#use wml::debian::translation-check translation="044e496ff62bc4ab09480fd9c55ef5bf1de3990e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Les CVE suivants ont été rapportés concernant src:cups.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8842";>CVE-2019-8842</a>

<p>La fonction ippReadIO peut lire incomplètement un champ dâ??extension.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3898";>CVE-2020-3898</a>

<p>Il existait un dépassement de tampon de tas dans ppdFindOption() de libcups
dans ppd-mark.c. La fonction ppdOpen ne gérait pas la restriction dâ??UI non
autorisée. La fonction ppdcSource::get_resolution ne gérait pas les chaînes de
résolution non autorisées.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.7.5-11+deb8u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets cups.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2237.data"
# $Id: $

#use wml::debian::translation-check translation="f06501c0d28e56630b8ef9e96e180d00ebd26066" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs bogues CVE concernant src:netqmail ont été signalés.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2005-1513";>CVE-2005-1513</a>

<p>Un dépassement d'entier dans la fonction stralloc_readyplus dans qmail, lors
dâ??une exécution sur une plateforme 64 bits avec une grande utilisation de
mémoire virtuelle, permet à des attaquants distants de provoquer un déni de
service et, éventuellement, dâ??exécuter du code arbitraire à  l'aide d'une requête
SMTP importante.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2005-1514";>CVE-2005-1514</a>

<p>La fonction commands.c dans qmail, lors dâ??une exécution sur une plateforme
64 bits avec une grande utilisation de mémoire virtuelle, permet à des
attaquants distants de provoquer un déni de service et, éventuellement,
dâ??exécuter du code arbitraire à  l'aide d'une longue commande SMTP sans caractère
espace, faisant quâ??un tableau soit référencé avec un indice négatif.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2005-1515";>CVE-2005-1515</a>

<p>Une erreur dâ??entiers signés dans les fonctions qmail_put et substdio_put dans
qmail, lors dâ??une exécution sur une plateforme 64 bits avec une grande
utilisation de mémoire virtuelle, permet à des attaquants distants de provoquer
un déni de service et, éventuellement, dâ??exécuter du code arbitraire à  l'aide
d'un grand nombre de commandes SMTP RCPT TO.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3811";>CVE-2020-3811</a>

<p>La fonction qmail-verify comme utilisée dans netqmail 1.06 est prédisposée à 
une vulnérabilité de contournement de vérification dâ??adresse de courriel.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3812";>CVE-2020-3812</a>

<p>La fonction qmail-verify comme utilisée dans netqmail 1.06 est prédisposée à 
une vulnérabilité de divulgation d'informations. Un attaquant local peut
tester lâ??existence des fichiers et répertoires dans tout le système de fichiers
car qmail-verify est exécutée en tant quâ??administrateur et teste lâ??existence de
fichiers dans le répertoire utilisateur « home » de lâ??attaquant, sans diminuer dâ??abord ses
privilèges.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.06-6.2~deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets netqmail.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2234.data"
# $Id: $