[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla-{1942-2,2038-2,2042}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="4f7be4cf52368cbd0d55b2d71031a634d996e6c7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il existait une vulnérabilité potentielle de détournement de compte dans
Django, le cadriciel de développement web basé sur Python.</p>

<p>Le formulaire de réinitialisation de mot de passe de Django utilisait une
requête non sensible à la casse pour récupérer les comptes correspondant à
lâ??adresse de courriel sollicitant la réinitialisation du mot de passe. Dû à ce
que cela implique des transformations implicites ou explicites de casse, un
attaquant connaissant lâ??adresse de courriel associée avec le compte de
lâ??utilisateur pourrait façonner une adresse de courriel distincte de lâ??adresse
associée avec ce compte, mais qui, à cause du comportement des transformations
de casse dâ??Unicode, cesse dâ??être distincte après une transformation de casse, ou
qui sinon comparera lâ??équivalent fourni dans la base de données de
transformation de casse ou le comportement de la comparaison. Dans une telle
situation, lâ??attaquant peut recevoir un jeton valable de réinitialisation de
mot de passe pour le compte de lâ??utilisateur.</p>

<p>Pour résoudre cela, deux modifications ont été faites dans Django :</p>

<ul>
<li>Après la récupération dâ??une liste de comptes correspondant éventuellement
de la base de données, la fonction de réinitialisation du mot de passe de Django
vérifie désormais lâ??adresse de courriel pour une équivalence en Python, en
utilisant le processus recommandé de comparaison dâ??identifiants dâ??« Unicode
Technical Report 36, section 2.11.2(B)(2) ».</li>

<li>Lors de la génération des courriels de réinitialisation de mot de passe,
Django désormais envoie à lâ??adresse de courriel retrouvée dans la base de
données plutôt quâ??à lâ??adresse soumise dans le formulaire de réinitialisation de
mot de passe.</li>
</ul>

<p>Pour plus dâ??informations, veuillez consulter :
<a href="https://www.djangoproject.com/weblog/2019/dec/18/security-releases/";>https://www.djangoproject.com/weblog/2019/dec/18/security-releases/</a>.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-19844";>CVE-2019-19844</a>

<p>Détournement potentiel de compte à lâ??aide dâ??un formulaire de réinitialiastion
de mot de passe.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.7.11-1+deb8u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2042.data"
# $Id: $

#use wml::debian::translation-check translation="4113e110e900b7240a77f2133bacadc4b353b0dc" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une modification introduite dans libssh 0.6.3-4+deb8u4 (publiée dans la
DLA 2038-1) a cassé la façon dont x2goclient écrit les fichiers de configuration
de session du client vers le serveur, aboutissant à un message dâ??erreur dans la
boite de dialogue dâ??erreur durant le démarrage de session (et sa reprise).</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la
version 4.0.3.1-4+deb8u1 de x2goclient.</p>

<p>Nous vous recommandons de mettre à jour vos paquets x2goclient.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2038-2.data"
# $Id: $

#use wml::debian::translation-check translation="5de6f08afb5b48247951a38f158e8bcd87190465" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il sâ??agit dâ??une suite de la DLA-1942-1.</p>

<p>Il existait une certaine confusion à propos du correctif correct pour
 <a href="https://security-tracker.debian.org/tracker/CVE-2019-13776";>CVE-2019-13776</a>.</p>

<p>Lâ??annonce correcte pour cette DLA aurait due être :</p>

<p>Package : phpbb3
Version : 3.0.12-5+deb8u4
CVE ID: <a href="https://security-tracker.debian.org/tracker/CVE-2019-13776";>CVE-2019-13776</a> <a href="https://security-tracker.debian.org/tracker/CVE-2019-16993";>CVE-2019-16993</a></p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-16993";>CVE-2019-16993</a>

<p>Dans phpBB, includes/acp/acp_bbcodes.php vérifiait de manière incorrecte
le jeton CSRF dans la page des BBCode dans Administration Control Panel. Une attaque
CSRF réelle était possible si un attaquant réussissait à récupérer lâ??identifiant
de session dâ??un administrateur réauthentifié avant de les cibler.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-13776";>CVE-2019-13776</a>

<p>phpBB permettait le vol de lâ??identifiant de session du Administration Control
Panel en exploitant un CSRF dans la fonction Remote Avatar. Le vol du jeton CSRF
aboutit à un XSS stocké.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 3.0.12-5+deb8u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets phpbb3.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1942-2.data"
# $Id: $
Reply to: