[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla-18{66-2,72,73}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="0d1e23bf0b16dee6f96bf3f8aaed73cda652cc6d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tobias Maedel a découvert que le module mod_copy de ProFTPD, un serveur
FTP/SFTP/FTPS, réalisait une validation de droits incomplète pour les commandes
CPFR/CPTO.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.3.5e+r1.3.5-2+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets proftpd-dfsg.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1873.data"
# $Id: $

#use wml::debian::translation-check translation="2e335f78374522778a0894b37e67b50229791f3c" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Deux vulnérabilités ont été découvertes dans le cadriciel de développement
web Django.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14232";>CVE-2019-14232</a>

<p>Prévention dâ??un déni de service possible dans django.utils.text.Truncator.</p>

<p>Si les méthodes django.utils.text.Truncator's chars() et words() étaient
passées dans lâ??argument html=True, elles étaient extrêmement lentes à évaluer
certain entrées à cause dâ??une vulnérabilité de déni de service par expression
rationnelle. Les méthodes chars() et words() sont utilisées pour mettre en Å?uvre
les filtres de modèles truncatechars_html et truncatewords_html et étaient par
conséquent vulnérables.</p>

<p>Les expressions rationnelles utilisées par Truncator ont été simplifiées pour
éviter des problèmes de retour sur trace. Par conséquent, la ponctuation
terminale peut être parfois incluse dans la sortie tronquée.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14233";>CVE-2019-14233</a>

<p>Prévention dâ??un déni de service possible dans strip_tags().</p>

<p>Ã? cause du comportement de HTMLParserL sous-jacent,
django.utils.html.strip_tags() serait extrêmement lent à évaluer certaines
entrées contenant de larges séquences dâ??entités incomplètes HTML imbriquées. La
méthode strip_tags() est utilisée pour mettre en Å?uvre les filtres de modèle
« striptags » et était par conséquent aussi vulnérable.</p>

<p>strip_tags() désormais évite des appels récursifs à HTMLParser quand
lâ??avancement de suppression de balises, sauf forcement les entités HTML
incomplètes, cesse dâ??être fait.</p>

<p>Il faut se rappeler que absolument AUCUNE garantie nâ??est fournie pour que le
résultat de strip_tags() soit sûr du point de vue HTML. Aussi, ne JAMAIS marquer
comme sûr le résultat dâ??appel strip_tags() sans dâ??abord les protéger, par
exemple avec django.utils.html.escape().</p></li>
</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.7.11-1+deb8u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1872.data"
# $Id: $

#use wml::debian::translation-check translation="a0fa6d1c3984c488d7812c5b3409effcf0f54359" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Simon McVittie a détecté une régression de fuite de mémoire dans la manière
dont <a href="https://security-tracker.debian.org/tracker/CVE-2019-13012";>CVE-2019-13012</a>
a été corrigé pour glib2.0 dans Debian Jessie.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 2.42.1-1+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets glib2.0.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1866-2.data"
# $Id: $
Reply to: