[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla16{57,58,59,60,61}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>debian-security-support, le vérificateur de couverture de sécurité de Debian,
a été mis à jour dans Jessie.</p>

<p>Cela marque la fin de vie du paquet Enigmail dans Jessie. Après de nombreux
mois de travail pour rétroporter les diverses modifications et corrections
nécessaires pour assurer un paquet Enigmail sécurisé, compatible avec la
nouvelle version de Thunderbird maintenant fournie avec Jessie, lâ??équipe LTS
pense que les modifications sont trop importantes pour garantir la stabilité de
la distribution dans son entier.</p>

<p>Bien que Enigmail soit toujours disponible sur addons.mozilla.org, nous ne
recommandons pas que ce paquet soit utilisé, en téléchargement, et exécute des
binaires arbitraires sans que lâ??utilisateur le sache. Il ne respecte pas les
engagements de Debian à propos du logiciel libre, et nâ??est donc pas
constructible à partir du source.</p>

<p>Nous recommandons plutôt de mettre à niveau les stations de travail ayant
besoin dâ??Enigmail vers Stretch de Debian où les mises à jour sont disponibles.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ce problème a été corrigé dans la
version 2019.02.01~deb8u1 de debian-security-support.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1657.data"
# $Id: $

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Un couple de vulnérabilités a été découvert dans phpmyadmin, un outil
dâ??administration web pour MySQL.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19968";>CVE-2018-19968</a>

<p>Un attaquant peut exploiter phpMyAdmin avant 4.8.4 pour divulguer le contenu
dâ??un fichier local à cause dâ??une erreur dans la fonction de transformation.
Lâ??attaquant doit avoir accès aux tables de stockage de configuration de
phpMyAdmin, bien que celles-ci peuvent être facilement créées dans nâ??importe
quelle base de données accessibles par lâ??attaquant. Un attaquant doit avoir des
droits adéquats pour se connecter dans phpMyAdmin. Cette vulnérabilité ne permet
pas à un attaquant de contourner la procédure de connexion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19970";>CVE-2018-19970</a>

<p>Une vulnérabilité de script intersite (XSS) a été découverte dans lâ??arbre de
navigation, où un attaquant peut fournir une charge à un utilisateur un nom
contrefait de base de données ou de table.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4:4.2.12-2+deb8u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets phpmyadmin.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1658.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité dâ??exécution de code à distance existe dans lâ??enveloppe
interne de flux phar de PHP lors de la réalisation dâ??opérations de fichiers avec
phar://URI non sûr. Certains codes de Drupal (cÅ?ur, contrib et personnalisés)
peuvent réaliser des opérations de fichiers pour une entrée de lâ??utilisateur
insuffisamment vérifiée, donc exposées à cette vulnérabilité.</p>

<p>Avec cette mise à jour,une enveloppe de flux de remplacement du projet typo3
est utilisée au lieu de celle interne.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 7.32-1+deb8u14.</p>

<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1659.data"
# $Id: $

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dâ??autres vulnérabilités ont été trouvées par Nick Cleaton dans le code de
rssh qui pourraient conduire à l'exécution de code arbitraire dans certaines
circonstances.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3463";>CVE-2019-3463</a>

<p>Rejet des options en ligne de commande de rsync --daemon et --config ;
exécution de commande arbitraire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3464";>CVE-2019-3464</a>

<p>Empêchement pour popt de charger un fichier de configuration ~/.popt,
qui conduisait à lâ??exécution de commande arbitraire.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2.3.4-4+deb8u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets rssh.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1660.data"
# $Id: $

#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert que mumble-server gère incorrectement plusieurs requêtes
concurrentes qui persistent dans la base de données. Cela permet à des attaquants
distants de provoquer un déni de service (suspension du démon ou plantage)
à l'aide d'une avalanche de messages. Avec la nouvelle mise à jour de sécurité,
un limiteur de débit est ajouté avec lâ??algorithme Leaky-Bucket.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1.2.8-2+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mumble.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1661.data"
# $Id: $
Reply to: