[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla-18{46-2,90,91}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="f4b202ff150c549a294311c3e562eb88ac86c310" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans openldap, un
serveur et des outils pour fournir un service dâ??annuaire autonome.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-13057";>CVE-2019-13057</a>

<p>Quand lâ??administrateur du serveur confie les privilèges rootDN (admin de base
de données) pour certaines bases de données mais veut conserver une séparation
(par exemple, pour les déploiements « multi-tenant »), slapd ne stoppe pas
correctement un rootDN dans la requête dâ??autorisation sous une identité dâ??une
autre base de données lors dâ??une liaison SASL ou avec un contrôle proxyAuthz
(RFC 4370). (Ce nâ??est pas une configuration courante de déployer un système où
lâ??administrateur du serveur et lâ??administrateur DB agréent des niveaux de
confiance différents.)</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-13565";>CVE-2019-13565</a>

<p>Lors de lâ??utilisation du chiffrement dâ??authentification et de session SASL
et de lâ??appui sur les couches de sécurité dans les contrôles dâ??accès slapd,
il est possible dâ??obtenir un accès qui serait autrement refusé par une liaison
simple pour nâ??importe quelle identité assurée dans ces ACL. Après que la première
liaison SASL soit assurée, la valeur the sasl_ssf est retenue pour toutes les
nouvelles connexions non SASL. En fonction de la configuration des ACL, cela
peut affecter différents types dâ??opérations (recherches, modifications, etc.).
En dâ??autres mots, une étape réussie dâ??authentification accomplie par un
utilisateur affecte les exigences dâ??autorisation dâ??un autre utilisateur.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.4.40+dfsg-1+deb8u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openldap.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1891.data"
# $Id: $

#use wml::debian::translation-check translation="ac180165b318f601e95f6766139b4526116b11a6" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dominik Penner a découvert un défaut dans la manière comment KConfig
interprète les commandes dâ??interpréteur dans les fichiers desktop et autres
fichiers de configuration. Un attaquant peut abuser les utilisateurs en
installant un fichier contrefait pour l'occasion qui pourrait alors être utilisé
pour exécuter du code arbitraire, par exemple, un gestionnaire de fichiers
essayant de découvrir lâ??icône pour un fichier ou toute autre application
utilisant KConfig. Par conséquent, la fonction de prise en charge totale de
commandes dâ??interpréteur dans les entrées de KConfig a été retirée.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 4:4.14.2-5+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets kde4libs.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1890.data"
# $Id: $

#use wml::debian::translation-check translation="d2347ba7946830b4efe94c0941f824a83b8314f6" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise à jour de sécurité dâ??unzip publiée sous DLA 1846-1 causait une
régression lors de la construction à partir du source du navigateur web Firefox.</p>

<p>Un fichier de type zip est présent dans la distribution de Firefox, omni.ja,
qui est un conteneur zip avec le répertoire central placé au début du fichier au
lieu dâ??être placé après les entrées locales comme requis par la norme zip.
Cette mise à jour permet désormais à de tels conteneurs de ne pas apparaître
comme alertes de bombe zip quand en fait il nâ??existe pas de chevauchements.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 6.0-16+deb8u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets unzip.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1846-2.data"
# $Id: $
Reply to: