[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2020/dla-24{29,30,31}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="43410f66f58139428427baec12278be919a5d05f" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans la bibliothèque Oniguruma
dâ??expressions bibliothèque rationnelles, surtout utilisée dans des chaînes
multi-octets (mbstring) PHP.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-13224";>CVE-2019-13224</a>

<p>Une utilisation de mémoire après libération dans onig_new_deluxe() dans
regext.c permet à des attaquants de provoquer une divulgation éventuelle
d'informations, un déni de service, ou, éventuellement, une exécution de code
en fournissant des expressions rationnelles contrefaites. Lâ??attaquant fournit
une paire dâ??expression rationnelle et de chaîne, avec un encodage multi-octet,
géré par onig_new_deluxe().</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-16163";>CVE-2019-16163</a>

<p>Oniguruma permet un épuisement de pile dans regcomp.c à cause dâ??une récursion
dans regparse.c.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-19012";>CVE-2019-19012</a>

<p>Un dépassement d'entier dans la fonction search_in_range dans regexec.c dans
Onigurama conduit à une lecture hors limites, dans laquelle le décalage de cette
lecture est sous le contrôle de lâ??attaquant. Cela touche uniquement la version
compilée en 32 bits. Des attaquants distants peuvent provoquer un déni de
service ou une divulgation d'informations, ou, éventuellement, avoir un impact
non précisé, à l'aide d'une expression rationnelle contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-19203";>CVE-2019-19203</a>

<p>Un problème a été découvert dans Oniguruma. Dans la fonction
gb18030_mbc_enc_len dans le fichier gb18030.c, un pointeur UChar est
déréférencé sans vérifier sâ??il dépasse la chaîne mise en correspondance. Cela
conduit à une lecture hors limites de tampon de tas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-19204";>CVE-2019-19204</a>

<p>Un problème a été découvert dans Oniguruma. Dans la fonction
fetch_interval_quantifier (anciennement connue comme fetch_range_quantifier)
dans regparse.c, PFETCH est appelé sans vérification de PEND. Cela conduit à une
lecture hors limites de tampon de tas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-19246";>CVE-2019-19246</a>

<p>Oniguruma possède une lecture hors limites de tampon de tas dans
str_lower_case_match dans regexec.c.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-26159";>CVE-2020-26159</a>

<p>Dans Oniguruma, un attaquant capable de fournir une expression rationnelle
pour la compilation peut outrepasser un tampon dâ??un byte dans
concat_opt_exact_str dans src/regcomp.c</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 6.1.3-2+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libonig.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de libonig, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/libonig";>https://security-tracker.debian.org/tracker/libonig</a>.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2431.data"
# $Id: $

#use wml::debian::translation-check translation="1a846c56ca9e5e714666f5d1ae8673f86a4cb176" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Vaisha Bernard a découvert que Blueman, un gestionnaire graphique pour
bluetooth réalisait une validation insuffisante dâ??une interface D-Bus. Cela
pourrait aboutir à un déni de service ou à une élévation des privilèges.</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 2.0.4-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets blueman.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de blueman, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/blueman";>https://security-tracker.debian.org/tracker/blueman</a>.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2430.data"
# $Id: $

#use wml::debian::translation-check translation="14745a0412e79a9104fb5a5c3db444fee2a8c3d2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités on été signalées à lâ??encontre de wordpress :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28032";>CVE-2020-28032</a>

<p>WordPress avant la version 4.7.19 gère incorrectement les requêtes de
désérialisation dans wp-includes/Requests/Utility/FilteredIterator.php.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28033";>CVE-2020-28033</a>

<p>WordPress avant la version 4.7.19 gère incorrectement les encapsulations des
sites désactivés dâ??un réseau multisite, comme le montre lâ??autorisation dâ??un
pourriel encapsulé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28034";>CVE-2020-28034</a>

<p>WordPress avant la version 4.7.19 permet un script intersite (XSS) associé
avec des variables globales.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28035";>CVE-2020-28035</a>

<p>WordPress avant la version 4.7.19 permet à des attaquants dâ??élever leurs
privilèges à lâ??aide du protocole XML-RPC.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28036";>CVE-2020-28036</a>

<p>wp-includes/class-wp-xmlrpc-server.php dans WordPress avant la version 4.7.19
permet à des attaquants dâ??élever leurs privilèges en utilisant le protocole
XML-RPC pour commenter une publication.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28037";>CVE-2020-28037</a>

<p>is_blog_installed dans wp-includes/functions.php dans WordPress avant la
version 4.7.19 détermine improprement si WordPress est déjà installé. Cela
pourrait permettre à un attaquant de réaliser une nouvelle installation,
conduisant à une exécution de code à distance (ainsi quâ??à un déni de service
pour lâ??ancienne installation).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28038";>CVE-2020-28038</a>

<p>WordPress avant la version 4.7.19 permet le stockage dâ??XSS à lâ??aide
dâ??identifiants (slugs) de publication.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28039";>CVE-2020-28039</a>

<p>is_protected_meta dans wp-includes/meta.php dans WordPress avant la
version 4.7.19 permet une suppression de fichier arbitraire car il ne détermine
pas correctement si une clé méta est considérée comme protégée.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28040";>CVE-2020-28040</a>

<p>WordPress avant la version 4.7.19 permet des attaques CSRF changeant
lâ??image dâ??arrière-plan de thème.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 4.7.19+dfsg-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de wordpress, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/wordpress";>https://security-tracker.debian.org/tracker/wordpress</a>.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2429.data"
# $Id: $
Reply to: