[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla-19{86,88}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="6704d39e66b84695501ff4999cb8a8971e14316b" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans Ampache, un système de
gestion de fichiers audio basé sur le web.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-12385";>CVE-2019-12385</a>

<p>Le moteur de recherche est sujet à une injection SQL, aussi nâ??importe quel
utilisateur pouvant réaliser des recherches lib/class/search.class.php (même les
utilisateurs invités) peuvent copier nâ??importe quelles données contenues dans la
base de données (sessions, mots de passe chiffrés, etc.). Cela pourrait
conduire à une compromission totale des comptes administrateur lorsque cela est
combiné avec lâ??algorithme de génération de mot de passe faible utilisé dans la
fonction lostpassword.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-12386";>CVE-2019-12386</a>

<p>Un script intersite (XSS) stocké existe dans la fonctionnalité LocalPlay
<q>ajout dâ??une instance de fonction</q> de localplay.php . Le code injecté est
réfléchi dans le menu dâ??instances. Cette vulnérabilité peut être mal utilisée
pour forcer un administrateur à créer un nouvel utilisateur privilégié dont les
accréditations sont connues par lâ??attaquant.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 3.6-rzb2752+dfsg-5+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ampache.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1988.data"
# $Id: $

#use wml::debian::translation-check translation="eb3d98f63e2a15268e6dd4b8c91eaff27a10113a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Dans haml, lors de lâ??utilisation dâ??une entrée utilisateur pour réaliser des
tâches sur le serveur, des caractères tels que < > " ' doivent être protégés
correctement. Dans cette utilisation, le caractère ' était absent. Un attaquant
pouvait manipuler lâ??entrée pour introduire des attributs supplémentaires, avec
une exécution de code potentielle.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 4.0.5-2+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ruby-haml.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1986.data"
# $Id: $
Reply to: