[RFR] wml://lts/security/2019/dla-177{7,8,9}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="f9dd58eba0254b587e5b136b4126b83065f33b28" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Dans 389-ds-base jusquâ??à  la version 1.4.1.2, les requêtes étaient gérées par
des processus légers « worker ». Chaque socket était attendu par le worker pour
au plus <q>ioblocktimeout</q> secondes. Cependant, ce délai sâ??appliquait
seulement aux requêtes non chiffrées. Les connexions utilisant SSL/TLS ne
tenaient pas compte de ce délai lors de lectures et pouvaient être suspendues
plus longtemps. Un attaquant non authentifié pouvait créer de manière répétée
des requêtes LDAP en attente pour planter tous les workers, aboutissant à 
un déni de service.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.3.3.5-4+deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets 389-ds-base.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1779.data"
# $Id: $

#use wml::debian::translation-check translation="a06ee13fa526d1299be9de8421e93082d96f59b7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans symfony, un
cadriciel PHP pour applications web. De nombreux composants de symfony sont
affectés : Framework Bundle, Dependency Injection, Security, HttpFoundation</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10909";>CVE-2019-10909</a>

<p>Les messages de validation nâ??étaient pas protégés lors de lâ??utilisation du
thème de formulaire du moteur de modèles de PHP. Lorsque les messages de
validation pouvaient contenir une entrée de lâ??utilisateur, cela pouvait aboutir
à un script intersite (XSS).</p>

<p>Pour plus dâ??informations, veuillez consulter lâ??annonce de lâ??amont à 
<a href="https://symfony.com/blog/cve-2019-10909-escape-validation-messages-in-the-php-templating-engine";>https://symfony.com/blog/cve-2019-10909-escape-validation-messages-in-the-php-templating-engine</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10910";>CVE-2019-10910</a>

<p>Les ID de service déduits dâ??une entrée utilisateur non filtrée pourraient
aboutir à  lâ??exécution de nâ??importe quel code arbitraire, conduisant à  une
possible exécution de code à distance.</p>

<p>Pour plus dâ??informations, veuillez consulter lâ??annonce de lâ??amont à 
<a href="https://symfony.com/blog/cve-2019-10910-check-service-ids-are-valid";>https://symfony.com/blog/cve-2019-10910-check-service-ids-are-valid</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10911";>CVE-2019-10911</a>

<p>Cela corrige des situations où une partie du temps dâ??expiration dans un cookie
pourrait être considérée comme une partie du nom dâ??utilisateur, ou une partie du
nom de lâ??utilisateur considérée comme une partie du temps dâ??expiration. Un
attaquant pourrait modifier le cookie « remember me » et sâ??authentifier comme
utilisateur différent. Cette attaque est seulement possible si la fonctionnalité
« remember me » est activée et que les deux utilisateurs partagent un hachage de
mot de passe ou que les hachages de mot de passe (par exemple,
UserInterface::getPassword()) soient Null pour tous les utilisateurs (ce qui est
valable si les mots de passe sont vérifiés par un système externe, par exemple,
un SSO).</p>

<p>Pour plus dâ??informations, veuillez consulter lâ??annonce de lâ??amont à 
<a href="https://symfony.com/blog/cve-2019-10911-add-a-separator-in-the-remember-me-cookie-hash";>https://symfony.com/blog/cve-2019-10911-add-a-separator-in-the-remember-me-cookie-hash</a></p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10913";>CVE-2019-10913</a>

<p>Les méthodes HTTP de soit la méthode HTTP elle-même ou en utilisant lâ??en-tête
X-Http-Method-Override, étaient précédemment renvoyées comme méthode concernée
sans validation réalisée sur la chaîne, signifiant quâ??elles pourraient être
utilisées dans des contextes dangereux lorsque laissées non protégées.</p>

<p>Pour plus dâ??informations, veuillez consulter lâ??annonce de lâ??amont à 
<a href="https://symfony.com/blog/cve-2019-10913-reject-invalid-http-method-overrides";>https://symfony.com/blog/cve-2019-10913-reject-invalid-http-method-overrides</a></p>


<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.3.21+dfsg-4+deb8u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets symfony.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>

</ul>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1778.data"
# $Id: $

#use wml::debian::translation-check translation="f07d1712a6e9fbeba388bce791a8dd750f904361" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>jQuery gère incorrectement <code>jQuery.extend(true, {}, ...)</code> dû à la
pollution de <code>Object.prototype</code>. Si un objet source non vérifié
contient une propriété énumerable <code>__proto__</code>, il pourrait extendre
le <code>Object.prototype</code> natif. Pour des informations supplémentaires,
veuillez vous référez à  lâ??annonce de lâ??amont à 
<a href="https://www.drupal.org/sa-core-2019-006";>https://www.drupal.org/sa-core-2019-006</a>.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.7.2+dfsg-3.2+deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets jquery.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1777.data"
# $Id: $