Bonjour, Dixit JP Guillonneau, le 21/03/2019 : >Ces annonces de sécurité ont été publiées. Corrections et proposition pour clarifier. Baptiste
--- 00000960.dla-1716.wml 2019-03-22 10:18:40.383264622 +0100 +++ ./00000960.dla-1716-bj.wml 2019-03-22 10:19:50.830451707 +0100 @@ -6,9 +6,9 @@ auteurs autorisés de wiki pourrait demander à ikiwiki dâ??accéder à des URI potentiellement indésirables, même si LWPx::ParanoidAgent était installé :</p> -<p>fichiers locaux à lâ??aide de file: URI -autres schémas dâ??URI pouvant être détournés des attaquants, tels que gopher: -hôtes déterminant les adresses IP de boucle locale (127.x.x.x) +<p>fichiers locaux à lâ??aide de lâ??URI file: ; +autres schémas dâ??URI pouvant être détournés des attaquants, tels que gopher: ; +hôtes déterminant les adresses IP de boucle locale (127.x.x.x) ; hôtes déterminant les adresses IP RFC 1918 (192.168.x.x, etc.)</p> <p>Cela pourrait être utilisé par un attaquant pour publier des informations qui @@ -21,9 +21,9 @@ blogspam, openid et pinger retomberaient sur LWP, qui est vulnérable à des attaques similaires. Cela est peu probable dâ??être un problème en pratique pour le greffon blogspam car lâ??URL demandé est sous le contrôle de lâ??administrateur -du wiki, mais le greffon openid peut demander des URL contrôlés par des +du wiki, mais le greffon openid peut demander des URL contrôlées par des utilisateurs distants non authentifiés, et le greffon pinger peut demander des -URL contrôlés pas des auteurs autorisés de wiki.</p> +URL contrôlées pas des auteurs autorisés de wiki.</p> <p>Cela est corrigé dans ikiwiki 3.20190228 comme suit, avec les mêmes correctifs rétroportés dans Debian 9 dans la version 3.20170111.1 :</p>
--- 00000964.dla-1717.wml 2019-03-22 10:19:56.142390411 +0100 +++ ./00000964.dla-1717-bj.wml 2019-03-22 10:20:10.046229970 +0100 @@ -2,7 +2,7 @@ <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> -<p>Les outils en LDC dans python-rdflib-tools peuvent chargés des modules de +<p>Les outils en LDC dans python-rdflib-tools peuvent charger des modules de Python trouvés dans le répertoire utilisé. Cela arrive parce que « python -m » ajoute le répertoire en cours dans le chemin de Python.</p>
Attachment:
pgpJaUxSqbEpE.pgp
Description: Signature digitale OpenPGP