[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla16{72,73,74,75,76}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Trois vulnérabilités existaient dans le client HTTP (etc.) curl en ligne de
commande :</p>

<ul>

 <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16890";>CVE-2018-16890</a>
<p>Une vulnérabilité de lecture hors limites de tampon de tas dans le traitement
de messages NTLM de type 2.</p></li>

 <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3822";>CVE-2019-3822</a>
<p>Un dépassement de pile dans le traitement dâ??en-têtes  NTLM type 3 sortantes.</p></li>

 <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3823";>CVE-2019-3823</a>
<p>Une lecture de tas hors limites dans le code gérant la fin de la réponse dans
le protocole SMTP.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 7.38.0-4+deb8u14 de curl.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1672.data"
# $Id: $

#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20147";>CVE-2018-20147</a>

<p>Des auteurs pourraient modifier les métadonnées pour contourner les
restrictions prévues pour la suppression de fichiers.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20148";>CVE-2018-20148</a>

<p>Des contributeurs pourraient réaliser des attaques par injection dâ??objet PHP
à lâ??aide de métadonnées contrefaites dans un appel wp.getMediaItem XMLRPC. Cela
est provoqué par le mauvais traitement de données sérialisées dans phar://·URLs
dans la fonction wp_get_attachment_thumb_file dans wp-includes/post.php.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20149";>CVE-2018-20149</a>

<p>Lorsque le serveur HTTP Apache HTTP est utilisé, des auteurs pourraient
téléverser des fichiers contrefaits contournant les restrictions de type MIME
prévues, conduisant à une faille XSS, comme démontré par un fichier .jpg sans
données JPEG.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20150";>CVE-2018-20150</a>

<p>Des URL contrefaits pourraient faire apparaitre des failles XSS pour certains
cas dâ??utilisation impliquant des greffons.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20151";>CVE-2018-20151</a>

<p>La page dâ??accueil de lâ??utilisateur pourrait être lue par un robot
dâ??indexation de moteur de recherche si une configuration inhabituelle était
choisie. Le moteur de recherche pourrait alors indexer et afficher lâ??adresse de
courriel de lâ??utilisateur et (rarement) le mot de passe généré par défaut.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20152";>CVE-2018-20152</a>

<p>Des auteurs pourraient contourner des restrictions prévues sur des types
dâ??article à lâ??aide dâ??entrée contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20153";>CVE-2018-20153</a>

<p>Des contributeurs pourraient modifier de nouveaux commentaires faits par des
utilisateurs avec de meilleurs privilèges, éventuellement causant une faille
XSS.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4.1.25+dfsg-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1673.data"
# $Id: $

#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>php-pear dans php5 contient les vulnérabilités CWE-502 (désérialisation de
données non fiables) et CWE-915 (modification improprement contrôlée dâ??attributs
dâ??objet déterminés dynamiquement) dans sa classe Archive_Tar. Lorsque extract
est appelé sans un chemin préfixé particulier, cela peut provoquer la
désérialisation en contrefaisant un fichier tar avec
`phar://[path_vers_fichier_phar_malveillant]` comme path. Lâ??injection dâ??objet
peut être utilisée pour déclencher destruct dans les classes PHP chargées, avec
une exécution de code possible à distance conduisant à des suppressions de
fichiers ou éventuellement leurs modifications.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 5.6.39+dfsg-0+deb8u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1674.data"
# $Id: $

#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Alexander Kjäll et Stig Palmquist ont découvert une vulnérabilité dans
python-gnupg, une enveloppe autour de GNU Privacy Guard. Il était possible
dâ??injecter des données à lâ??aide de la propriété de phrase secrète des fonctions
gnupg.GPG.encrypt() et gnupg.GPG.decrypt() lorsque le chiffrement symétrique est
utilisé. La phrase secrète fournie nâ??est pas validée pour "newline" et la
bibliothèque transmet --passphrase-fd=0 à lâ??exécutable gpg qui attend la phrase
de passe sur la première ligne de stdin, et le texte chiffré à déchiffré ou le
texte simple à chiffré sur les lignes suivantes.</p>

<p>En fournissant une phrase secrète contenant un "newline", un attaquant peut
contrôler ou modifier le texte chiffré ou simple à déchiffré ou chiffré.</p>


<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 0.3.6-1+deb8u1.

<p>Nous vous recommandons de mettre à jour vos paquets python-gnupg.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1675.data"
# $Id: $

#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Ralph Dolmans et Karst Koymans ont trouvé un défaut dans la manière dont
unbound, un solveur de validation, mise en cache et récursif de DNS, validait
des enregistrements NSEC synthétisés avec des jokers.</p>

<p>Un enregistrement de joker NSEC improprement validé pourrait être utilisé
pour prouver la non-existence (réponse NXDOMAIN) dâ??un enregistrement de joker
existant, ou tromper unbound pour accepter une attestation NODATA.</p>

<p>Pour plus dâ??informations, veuillez vous référer à lâ??annonce amont sur
<a href="https://unbound.net/downloads/";>https://unbound.net/downloads/</a><a href="https://security-tracker.debian.org/tracker/CVE-2017-15105";>CVE-2017-15105</a>.txt.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1.4.22-3+deb8u4.

<p>Nous vous recommandons de mettre à jour vos paquets unbound.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1676.data"
# $Id: $
Reply to: