[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla-17{10,15,16,17}.wml

Bonjour,

le vendredi 22 mars 10:27, Baptiste Jammet a écrit :

>Corrections et proposition pour clarifier.
Merci, intégrées, quoique :
http://jargonf.org/wiki/URI
http://jargonf.org/wiki/URL

Autre chance de commentaire.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="c721183f81b6324974e4b8024ffe3c600551fbec" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Les outils en LDC dans python-rdflib-tools peuvent charger des modules de
Python trouvés dans le répertoire utilisé. Cela arrive parce que « python -m »
ajoute le répertoire en cours dans le chemin de Python.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 4.1.2-3+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets rdflib.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1717.data"
# $Id: $

#use wml::debian::translation-check translation="b2eb73ccfe48a5f3cabfe3614ab068da445fd89d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les responsables dâ??ikiwiki ont découvert que le greffon aggregate nâ??utilisait
pas LWPx::ParanoidAgent. Sur les sites ou le greffon aggregate est activé, des
auteurs autorisés de wiki pourrait demander à ikiwiki dâ??accéder à des URI
potentiellement indésirables, même si LWPx::ParanoidAgent était installé :</p>

<p>fichiers locaux à lâ??aide de lâ??URI file: ;
autres schémas dâ??URI pouvant être détournés des attaquants, tels que gopher: ;
hôtes déterminant les adresses IP de boucle locale (127.x.x.x) ;
hôtes déterminant les adresses IP RFC 1918 (192.168.x.x, etc.)</p>

<p>Cela pourrait être utilisé par un attaquant pour publier des informations qui
ne devraient pas être accessibles, causant un déni de service en requérant
des URI <q>tarpit</q> longs à répondre, ou causant des effets de bord
indésirables si un serveur web local implémente des requêtes GET <q>non sûres</q>.
(<a href="https://security-tracker.debian.org/tracker/CVE-2019-9187";>CVE-2019-9187</a>)</p>

<p>De plus, si liblwpx-paranoidagent-perl nâ??est pas installé, les greffons
blogspam, openid et pinger retomberaient sur LWP, qui est vulnérable à des
attaques similaires. Cela est peu probable dâ??être un problème en pratique pour
le greffon blogspam car lâ??URL demandé est sous le contrôle de lâ??administrateur
du wiki, mais le greffon openid peut demander des URL contrôlées par des
utilisateurs distants non authentifiés, et le greffon pinger peut demander des
URL contrôlées pas des auteurs autorisés de wiki.</p>

<p>Cela est corrigé dans ikiwiki 3.20190228 comme suit, avec les mêmes correctifs
rétroportés dans Debian 9 dans la version 3.20170111.1 :</p>

<ul>

<li>Les schémas dâ??URI autres que http: et https: ne sont pas acceptés, évitant
lâ??accès à file:, gopher:, etc.</li>

<li>Si un mandataire est configuré dans le fichier de configuration dâ??ikiwiki,
il est utilisé pour toutes les requêtes sortantes http: et https:. Dans ce cas,
le mandataire est responsable du blocage de toutes requêtes indésirables,
incluant les adresses de boucle locale ou RFC 1918.</li>

<li>Si un mandataire nâ??est pas configuré et liblwpx-paranoidagent-perl installé,
il sera utilisé. Cela empêche les adresses IP de boucle locale et RFC 1918, et
règle un délai pour éviter un déni de service à lâ??aide dâ??URI <q>tarpit</q>.</li>

<li>Sinon, lâ??agent utilisateur ordinaire LWP sera utilisé. Cela permet des
requêtes dâ??adresses IP de boucle locale et RFC 1918, et a un comportement moins
fort dâ??arrêt. Nous ne traitant pas cela comme une vulnérabilité : si ce
comportement nâ??est pas acceptable pour votre site, veuillez être sûr que
que LWPx::ParanoidAgent soit installé ou désactivez les greffons concernés.</li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 3.20141016.4+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ikiwiki. De plus, il est
aussi recommandé que liblwpx-paranoidagent-perl soit installé, qui est dans le
champ « recommandé » dâ??ikiwiki.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1716.data"
# $Id: $
Reply to: