[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla-173{3,5,6,7}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="47c381ba60326c1ba7425175241c66bb3634f1cb" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans le serveur faisant autorité,
PowerDNS, dans les versions avant 4.0.7 et avant 4.1.7. Une validation
insuffisante des données provenant de lâ??utilisateur lors de la construction
dâ??une requête HTTP issue dâ??une requête DNS dans le connecteur HTTP du dorsal
distant, permettait à un utilisateur distant de provoquer un déni de service en
faisant que le serveur se connecte à un nÅ?ud non valable, ou, éventuellement,
une divulgation d'informations en faisant que le serveur se connecte à un nÅ?ud
interne et extrayant de quelque façon des informations significatives à propos
de la réponse.</p>

<p>Seules les installations utilisant le paquet pdns-backend-remote sont
 touchées.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 3.4.1-4+deb8u9.</p>
<p>Nous vous recommandons de mettre à jour vos paquets pdns.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1737.data"
# $Id: $

#use wml::debian::translation-check translation="c504840eafe88f2f3ccf6335eed830a2ae2173ef" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de sécurité a été découverte dans le serveur de courriels
Dovecot. Lors de la lecture des en-têtes FTS à partir de lâ??index de Dovecot, les
limites de la taille du tampon dâ??entrée ne sont pas vérifiées. Un attaquant,
ayant la possibilité de modifier les index de Dovecot, pourrait exploiter ce
défaut pour une augmentation de droits ou l'exécution de code arbitraire avec
les permissions de lâ??utilisateur de Dovecot. Seules les installations utilisant
les greffons FTS sont touchées.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1:2.2.13-12~deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets dovecot.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1736.data"
# $Id: $

#use wml::debian::translation-check translation="fda7b127e9dcc32c4d37783a96b2168eeff7a2aa" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans rubygems imbriqué dans
ruby2.1, le langage de script interprété.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8320";>CVE-2019-8320</a>

<p>Un problème de traversée de répertoire été découvert dans RubyGems. Avant de
créer de nouveaux répertoires ou fichiers (qui maintenant inclut le code de
vérification de chemin pour les liens symboliques), il supprime la destination
de la cible.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8322";>CVE-2019-8322</a>

<p>La commande owner de gem affiche le contenu de la réponse de lâ??API
directement sur la sortie standard. Par conséquent, si la réponse est
contrefaite, une injection de séquence dâ??échappement peut se produire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8323";>CVE-2019-8323</a>

<p>Gem::GemcutterUtilities#with_response peut afficher la réponse de lâ??API sur
la sortie standard telle quelle. Par conséquent, si le côté API modifie la
réponse, une injection de séquence dâ??échappement peut se produire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8324";>CVE-2019-8324</a>

<p>Un gem contrefait avec un nom multi-ligne nâ??est pas géré correctement. Par
conséquent, un attaquant pourrait injecter du code arbitraire sur la ligne de
souche de gemspec, qui est eval-ué par du code dans ensure_loadable_spec lors
la vérification de préinstallation.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8325";>CVE-2019-8325</a>

<p>Un problème a été découvert dans RubyGems 2.6 et plus jusquâ??à 3.0.2. Puisque
Gem::CommandManager#run appelle alert_error sans échappement, une injection de
séquence dâ??échappement est possible. (Il existe plusieurs façons de provoquer
cette erreur).</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.1.5-2+deb8u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ruby2.1.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1735.data"
# $Id: $

#use wml::debian::translation-check translation="490ca77410fe066720404e98f735c2bff442d1ee" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que le mécanisme de repli pour générer un PIN WPS dans
hostapd, un identifiant IEEE 802.11 AP et IEEE 802.1X/WPA/WPA2/EAP, utilisait
un générateur de piètre qualité de nombres pseudo-aléatoires. Ce problème a été
résolu en utilisant une fonction de haute qualité os_get_random.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 2.3-1+deb8u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets wpa.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1733.data"
# $Id: $
Reply to: