[RFR2] wml://security/2015/dla-30{1,4}.wml
Bonjour,
Le 25/07/2017 à 09:13, JP Guillonneau a écrit :
> Bonjour,
> suggestions.
> Amicalement.
> --
> Jean-Paul
Corrigé. Merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Possibilité de déni de service dans la vue logout() par remplissage du
stockage de session.</p>
<p>Auparavant, une session pouvait être créée lors d'un accès anonyme à la
vue django.contrib.auth.views.logout (Ã condition qu'elle ne soit pas
décorée avec django.contrib.auth.decorators.login_required comme c'est fait
avec l'interface d'administration). Cela pourrait permettre à un attaquant
de créer facilement plusieurs nouveaux enregistrements en envoyant des
requêtes répétées, et éventuellement de saturer le stockage de session ou
d'évincer les enregistrements de session d'autres utilisateurs.</p>
<p>L'intergiciel django.contrib.sessions.middleware.SessionMiddleware a été
modifié pour ne plus créer des enregistrements de session vide.</p>
<p>Il a été assigné à cette partie du correctif le <a href="https://security-tracker.debian.org/tracker/CVE-2015-5963";>CVE-2015-5963</a>.</p>
<p>De plus, les méthodes contrib.sessions.backends.base.SessionBase.flush()
et cache_db.SessionStore.flush() ont été modifiées pour éviter également la
création d'une nouvelle session vide. Les responsables de dorsal de session
tiers devraient vérifier si la même vulnérabilité est présente dans leur
dorsal et la corriger le cas échéant.</p>
<p>Il a été assigné à cette partie du correctif le <a href="https://security-tracker.debian.org/tracker/CVE-2015-5964";>CVE-2015-5964</a>.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-301.data"
# $Id: dla-301.wml,v 1.2 2017/07/28 23:25:47 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts et résolus dans OpenSLP qui
implémente le protocole standard de découverte de services (« SLP ») de
l'EITF (Internet Engineering Task Force)<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-3609";>CVE-2010-3609</a>
<p>Des attaquants distants pourraient provoquer un déni de service dans le
démon du protocole de découverte de services (SLPD) à l'aide d'un paquet
contrefait avec un <q>next extension offset</q>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4428";>CVE-2012-4428</a>
<p>Georgi Geshev a découvert qu'une erreur de lecture hors limites dans la
fonction SLPIntersectStringList() pourrait être utilisée pour provoquer un
déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5177";>CVE-2015-5177</a>
<p>Une double libération de zone de mémoire dans la fonction
SLPDProcessMessage() pourrait être utilisée pour provoquer le plantage
d'openslp.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 1.2.1-7.8+deb6u1 d'openslp-dfsg.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openslp-dfsg.</p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-304.data"
# $Id: dla-304.wml,v 1.2 2017/07/28 23:25:47 jipege1-guest Exp $
Reply to: