[RFR2] wml://security/2017/dsa-39{39,40,41,42}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Le 14/08/2017 à 14:45, JP Guillonneau a écrit :
> Bonjour,
> suggestions.
> Amicalement.
> --
> Jean-Paul
Corrigé. Merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Calum Hutton a signalé que le serveur XML-RPC dans supervisor, un
système de contrôle d'état de processus, ne réalisait pas de validation des
méthodes XML-RPC requises, permettant à un client authentifié d'envoyer une
requête XML-RPC malveillante à supervisord qui exécutera des commandes
d'interpréteur arbitraires sur le serveur avec le même utilisateur que
supervisord.</p>

<p>La vulnérabilité a été corrigée en désactivant entièrement la recherche
d'espace de noms imbriqué. Maintenant, supervisord appellera seulement les
méthodes sur l'objet enregistré pour gérer les requêtes XML-RPC et non tous
les objets fils qu'il peut contenir, cassant éventuellement les
configurations existantes. Actuellement, il n'y a pas de greffons
officiellement connus disponibles qui utilisent les espaces de noms
imbriqués. Les greffons qui utilisent un espace de noms unique continueront
à fonctionner comme avant. Vous trouverez des détails sur la publication de
l'amont à l'adresse
<a href="https://github.com/Supervisor/supervisor/issues/964";>https://github.com/Supervisor/supervisor/issues/964</a>.</p>

<p>Pour la distribution oldstable (Jessie), ce problème a été corrigé dans
la version 3.0r1-1+deb8u1.</p>

<p>Pour la distribution stable (Stretch), ce problème a été corrigé dans la
version 3.3.1-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets supervisor.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3942.data"
# $Id: dsa-3942.wml,v 1.2 2017/08/18 09:09:59 jipege1-guest Exp $