Bonjour, Dixit JP Guillonneau, le 15/05/2019 : >Ces (anciennes) annonces de sécurité ont été publiées. Quelques propositions. Baptiste
--- 000008bb.dla-1373.wml 2019-05-18 09:35:35.217075216 +0200 +++ ./000008bb.dla-1373-bj.wml 2019-05-18 09:36:59.712132290 +0200 @@ -2,7 +2,7 @@ <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts dans PHP (acronyme récursif pour PHP: -Hypertext Preprocessor), un langage générique de scriptage au code source ouvert +Hypertext Preprocessor), un langage générique de script au code source ouvert et largement utilisé, particulièrement adapté au développement web et embarquable dans du HTML.</p> @@ -12,7 +12,7 @@ <p>Les processus fils FPM déchargeables permettaient le contournement des contrôles d'accès d'opcache car fpm_unix.c réalise un appel prctl PR_SET_DUMPABLE -permettant à un utilisateur (dans un environnement multiutilisateur) dâ??obtenir +permettant à un utilisateur (dans un environnement multi-utilisateur) dâ??obtenir des informations sensibles de la mémoire de processus dâ??applications PHP dâ??un autre utilisateur en exécutant gcore sur le PID du processus de worker PHP-FPM.</p></li>
--- 000008be.dla-1374.wml 2019-05-18 09:38:10.287344706 +0200 +++ ./000008be.dla-1374-bj.wml 2019-05-18 09:38:19.911237307 +0200 @@ -3,7 +3,7 @@ <define-tag moreinfo> <p>Un attaquant distant authentifié peut exécuter du code arbitraire dans le serveur SQL Firebird, versions 2.5.7 et 3.0.2 en exécutant une instruction -SQL malformée. La seul solution connue est de désactiver le chargement des +SQL malformée. La seule solution connue est de désactiver le chargement des bibliothèques UDF. Pour cela, la configuration par défaut a été modifiée à UdfAccess=None. Cela empêchera le module fbudf dâ??être chargé, mais cela peut briser dâ??autres fonctionnalités reposant sur des modules.</p>
--- 000008c3.dla-1377.wml 2019-05-18 09:39:20.590560156 +0200 +++ ./000008c3.dla-1377-bj.wml 2019-05-18 09:39:35.782390621 +0200 @@ -4,7 +4,7 @@ <p>Un dépassement de tampon basé sur le tas a été découvert dans la fonction LZWDecodeCompat dans tif_lzw.c (LibTIFF 4.0.9 et versions précédentes). Cette vulnérabilité peut être exploitée par des attaquants distants pour planter le -client à l'aide d'un fichier contrefait TIFF LZW.</p> +client à l'aide d'un fichier TIFF LZW contrefait.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.0.2-6+deb7u20.</p>
--- 000008c8.dla-1378.wml 2019-05-18 09:39:48.454249209 +0200 +++ ./000008c8.dla-1378-bj.wml 2019-05-18 09:39:58.606135919 +0200 @@ -4,7 +4,7 @@ <p>Un dépassement de tampon basé sur le tas a été découvert dans la fonction LZWDecodeCompat dans tif_lzw.c (LibTIFF 4.0.9 et versions précédentes). Cette vulnérabilité peut être exploitée par des attaquants distants pour planter le -client à l'aide d'un fichier contrefait TIFF LZW.</p> +client à l'aide d'un fichier TIFF LZW contrefait.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 3.9.6-11+deb7u11.</p>
--- 000008cb.dla-1379.wml 2019-05-18 09:40:25.437836489 +0200 +++ ./000008cb.dla-1379-bj.wml 2019-05-18 09:40:33.805743108 +0200 @@ -5,7 +5,7 @@ téléchargement (par exemple) de données à lâ??aide de HTTP.</p> <p>curl pourrait avoir été trompé pour lire des données au-delà de la fin du -tampon basé sur le tas, utiliséé pour stocker le contenu téléchargé.</p> +tampon basé sur le tas, utilisé pour stocker le contenu téléchargé.</p> <p>Pour plus dâ??informations, Veuillez consulter lâ??annonce de lâ??amont sur :</p>
Attachment:
pgpKfzII887Lq.pgp
Description: Signature digitale OpenPGP