Bonjour, Dixit JP Guillonneau, le 09/05/2019 : >Ces (anciennes) annonces de sécurité ont été publiées. Corrections et reformulations. Baptiste
--- 0000038e.dla-1395.wml 2019-05-14 11:00:54.203323041 +0200 +++ ./0000038e.dla-1395-bj.wml 2019-05-14 11:01:49.562709229 +0200 @@ -3,7 +3,7 @@ <define-tag moreinfo> <p>Deux vulnérabilités dâ??exécution de code à distance dans php-horde-image, la bibliothèque de traitement d'images pour la suite de travail collaboratif Horde -<url "https://www.horde.org/">.</p> +<url "https://www.horde.org/"> ont été découvertes.</p> <ul> @@ -13,7 +13,7 @@ à divers dorsaux dâ??image.</p> <p>Remarquez que le correctif appliqué en amont possède une régression en ce -quâ??il ignore lâ??option <q>force aspect ratio</q>. Consulter +quâ??il ignore lâ??option <q>force aspect ratio</q>. Consultez <a href="https://github.com/horde/Image/pull/1">https://github.com/horde/Image/pull/1</a>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14650">CVE-2017-14650</a>
--- 00000394.dla-1399.wml 2019-05-14 11:03:57.241080111 +0200 +++ ./00000394.dla-1399-bj.wml 2019-05-14 11:06:20.063494164 +0200 @@ -18,9 +18,9 @@ <p>Une vulnérabilité a été découverte par lâ??équipe Pulse Security. Elle était exploitable seulement lors de lâ??exécution de passenger_instance_registry_dir non -standard, à l'aide d'un situation de compétition où après un fichier était créé, -il existait une fenêtre dans laquelle il pouvait être remplacé par un lien -symbolique avant dâ??être « chowned » à lâ??aide du chemin et pas avec le +standard, à l'aide d'une situation de compétition lorsque, après la création d'un fichier, +il existait une durée pendant laquelle il pouvait être remplacé par un lien +symbolique avant de changer de propriétaire à lâ??aide du chemin (« chown ») et pas avec le descripteur de fichier. Si la cible du lien symbolique était un fichier qui devait être exécuté par root tel quâ??un fichier crontab, alors une élévation des privilèges était possible. Cela est maintenant limité par lâ??utilisation de
Attachment:
pgpCCitLHxHU7.pgp
Description: Signature digitale OpenPGP