[LCFC2] wml://security/2017/dsa-39{39,40,41,42}.wml
Bonjour,
Le 24/08/2017 à 23:11, Alban Vidal a écrit :
> Bonsoir,
> On 08/23/2017 12:26 PM, jean-pierre giraud wrote:
>> Passage en LCFC. Textes inchangés depuis le RFR2.
>> Merci pour vos ultimes relectures.
> Suggestion pour dsa-3939 et 3942, RAS pour le reste.
> Cordialement,
> Alban
Suggestions reprises. Merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Calum Hutton a signalé que le serveur XML-RPC dans supervisor, un
système de contrôle d'état de processus, ne réalisait pas de validation des
méthodes XML-RPC requises, permettant à un client authentifié d'envoyer une
requête XML-RPC malveillante à supervisord qui exécutera des commandes
d'interpréteur arbitraires sur le serveur avec le même utilisateur que
supervisord.</p>
<p>La vulnérabilité a été corrigée en désactivant entièrement la recherche
d'espace de noms imbriqué. Maintenant, supervisord appellera seulement les
méthodes sur l'objet enregistré pour gérer les requêtes XML-RPC et non tous
les objets fils qu'il peut contenir, cassant éventuellement les
configurations existantes. Actuellement, il n'y a pas de greffon
officiellement connu disponible qui puisse utiliser les espaces de noms
imbriqués. Les greffons qui utilisent un espace de noms unique continueront
à fonctionner comme avant. Vous trouverez des détails sur la publication de
l'amont à l'adresse
<a href="https://github.com/Supervisor/supervisor/issues/964";>https://github.com/Supervisor/supervisor/issues/964</a>.</p>
<p>Pour la distribution oldstable (Jessie), ce problème a été corrigé dans
la version 3.0r1-1+deb8u1.</p>
<p>Pour la distribution stable (Stretch), ce problème a été corrigé dans la
version 3.3.1-1+deb9u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets supervisor.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3942.data"
# $Id: dsa-3942.wml,v 1.3 2017/08/27 12:32:40 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Aleksandar Nikolic a découvert qu'une erreur dans l'analyseur x509 de la
bibliothèque de cryptographie Botan pourrait avoir pour conséquence une
lecture de mémoire hors limites, aboutissant à un déni de service ou à une
fuite d'informations lors du traitement d'un certificat mal formé.</p>
<p>Pour la distribution oldstable (Jessie), ce problème a été corrigé dans
la version 1.10.8-2+deb8u2.</p>
<p>Pour la distribution distribution stable (Stretch), ce problème a été
corrigé avant la publication initiale.</p>
<p>Nous vous recommandons de mettre à jour vos paquets botan1.10.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3939.data"
# $Id: dsa-3939.wml,v 1.2 2017/08/27 12:32:40 jipege1-guest Exp $
Reply to:
- References:
- [RFR] wml://security/2017/dsa-39{39,40,41,42}.wml
- From: jean-pierre giraud <jean-pierregiraud@neuf.fr>
- Re: [RFR] wml://security/2017/dsa-39{39,40,41,42}.wml
- From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
- [RFR2] wml://security/2017/dsa-39{39,40,41,42}.wml
- From: jean-pierre giraud <jean-pierregiraud@neuf.fr>
- [LCFC] wml://security/2017/dsa-39{39,40,41,42}.wml
- From: jean-pierre giraud <jean-pierregiraud@neuf.fr>
- Re: [LCFC] wml://security/2017/dsa-39{39,40,41,42}.wml
- From: Alban Vidal <alban.vidal@zordhak.fr>