[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2020/dla-24{32,47-2,54,55,56,57,58}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

#use wml::debian::translation-check translation="c2690338e0b8682aa9f532d5172b9ccdad6025da" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans jupyter-notebook.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8768";>CVE-2018-8768</a>

<p>Un fichier notebook malveillant pourrait contourner le nettoyage afin
dâ??exécuter du Javascript dans le contexte notebook. Précisément, du HTML
incorrect est <q>corrigé</q> par jQuery après le nettoyage, le rendant
dangereux.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19351";>CVE-2018-19351</a>

<p>Un script intersite est permis à l'aide d'un notebook non fiable parce que
les réponses nbconvert sont considérées comme ayant la même origine que le
serveur de notebook.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-21030";>CVE-2018-21030</a>

<p>jupyter-notebook nâ??utilise pas dâ??en-tête CSP pour traiter les fichiers
servis comme appartenant à une origine distincte. Ainsi, une charge XSS peut
être placée dans un document SVG.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 4.2.3-4+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jupyter-notebook.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de jupyter-notebook, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/jupyter-notebook";>https://security-tracker.debian.org/tracker/jupyter-notebook</a>.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2432.data"
# $Id: $

#use wml::debian::translation-check translation="78cf9e6fd6ae6b94be25548954275d9f9d3d904a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans Drupal, un cadriciel complet de
gestion de contenu.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13666";>CVE-2020-13666</a>

<p>Lâ??interface de programmation applicative AJAX de Drupal ne désactivait pas
JSONP par défaut. Cela pourrait conduire à un script intersite.</p>

<p>Pour les configurations reposant sur lâ??API AJAX de Drupal pour les
requêtes JSONP, soit JSONP doit être réactivé, soit lâ??API AJAX jQuery doit être
utilisé.</p>

<p>Consultez lâ??annonce de lâ??amont pour plus de détails :
<a href="https://www.drupal.org/sa-core-2020-007";>https://www.drupal.org/sa-core-2020-007</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13671";>CVE-2020-13671</a>

<p>Drupal échouait à nettoyer les noms de fichier des fichiers téléversés. Cela
pourrait conduire à ce que des fichiers soient servis avec un mauvais type MIME
ou exécutés selon la configuration du serveur.</p>

<p>Il est aussi recommandé de vérifier avant les fichiers téléversés pour de
mauvaises extensions. Pour plus de détails, consultez lâ??annonce de lâ??amont :
<a href="https://www.drupal.org/sa-core-2020-012";>https://www.drupal.org/sa-core-2020-012</a>.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 7.52-2+deb9u12.</p>

<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de drupal7, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/drupal7";>https://security-tracker.debian.org/tracker/drupal7</a>.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2458.data"
# $Id: $

#use wml::debian::translation-check translation="2eed85af631b0aef68c366aa2be1c06bbfeb8436" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web
Firefox de Mozilla, qui pourraient éventuellement aboutir à l'exécution de code
arbitraire, une divulgation d'informations, un hameçonnage, un script intersite
ou une attaque DNS par rebond.</p>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 78.5.0esr-1~deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de firefox-esr, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/firefox-esr";>https://security-tracker.debian.org/tracker/firefox-esr</a>.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2457.data"
# $Id: $

#use wml::debian::translation-check translation="808eced345149e59e8db57258d450d97cde9dbf3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans Python.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-20907";>CVE-2019-20907</a>

<p>Dans Lib/tarfile.py, un attaquant peut élaborer une archive TAR conduisant
à une boucle infinie lorsquâ??elle est ouverte par tarfile.open, à cause dâ??une
validation manquante dâ??en-tête _proc_pax</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-26116";>CVE-2020-26116</a>

<p>http.client permet une injection CRLF si lâ??attaquant contrôle la méthode
de requête HTTP.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 3.5.3-1+deb9u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python3.5.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de python3.5, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/python3.5";>https://security-tracker.debian.org/tracker/python3.5</a>.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2456.data"
# $Id: $

#use wml::debian::translation-check translation="6002e79b0db6ccdf539717c837a0a5e8efed0240" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>golang-go.crypto a été récemment mis à jour avec un correctif pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2020-9283";>CVE-2020-9283</a>.
Cela conduit à ce que tous les paquets utilisant le code affecté soient
recompilés pour tenir compte du correctif de sécurité.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9283";>CVE-2020-9283</a>

<p>La vérification de signature SSH pourrait causer une <q>panique</q>
lorsquâ??une clé publique non valable est fournie.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 0.10.2+dfsg-6+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets packer.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de packer, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/packer";>https://security-tracker.debian.org/tracker/packer</a>.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2455.data"
# $Id: $

#use wml::debian::translation-check translation="2f448f35354e6a9a2009327f8a360d3624300a22" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>golang-go.crypto a été récemment mis à jour avec un correctif pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2019-11840";>CVE-2019-11840</a>.
Cela conduit à ce que tous les paquets utilisant le code affecté soient
recompilés pour tenir compte du correctif de sécurité.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11840";>CVE-2019-11840</a>

<p>Un problème a été découvert dans la bibliothèque complémentaire de
chiffrement de Go, c'est-à-dire, golang-googlecode-go-crypto. Si plus de 256 GiB
de séquences de clés sont générés ou si le compteur dépasse 32 bits,
lâ??implémentation dâ??amd64 générera dâ??abord une sortie incorrecte, puis reviendra
à la séquence précédente. Des répétitions dâ??octets de séquence peuvent conduire
à une perte de confidentialité dans les applications de chiffrement ou à une
prédictibilité dans les applications CSPRNG.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 1.35-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets rclone.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de rclone, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/rclone";>https://security-tracker.debian.org/tracker/rclone</a>.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2454.data"
# $Id: $

#use wml::debian::translation-check translation="374e58b76c6b97a44bdab4ad3791d022a1849896" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise à jour de pacemaker publiée dans la DLA-2447-1 causait une régression
quand la communication entre le moteur de grappe Corosync et pacemaker se
faisait. Un problème de permission empêchait des requêtes IPC entre nÅ?uds de
grappes. Le correctif pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2020-25654";>CVE-2020-25654</a>
est annulé jusquâ??à ce quâ??une meilleure solution ait été trouvée.</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 1.1.16-1+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets pacemaker.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de pacemaker, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/pacemaker";>https://security-tracker.debian.org/tracker/pacemaker</a>.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2447-2.data"
# $Id: $
Reply to: