[RFR] wml://lts/security/2020/dla-225{0,1}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="3263a88b9236350e8abab16cabd24c004e2aabc6" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été trouvées dans Ruby on Rails, un cadriciel MVC
basé sur Ruby adapté au développement dâ??applications web, qui pourraient
conduire à une exécution de code à distance et lâ??utilisation de saisies
utilisateur, selon lâ??application.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8164";>CVE-2020-8164</a>
<p>Vecteur de contournement de paramètres forts dans ActionPack. Dans certains
cas, lâ??information fournie par lâ??utilisateur pourrait être divulguée par
inadvertance à partir des paramètres forts. Particulièrement, la valeur renvoyée
par « each », « each_value » ou « each_pair » renverrait le hachage de données
sous-jacentes <q>non fiables</q> qui était lu de ces paramètres. Les
applications qui utilisent cette valeur de retour pourraient involontairement
utiliser des entrées utilisateur non fiables.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8165";>CVE-2020-8165</a>
<p>Déconversion potentielle inattendue dâ??objets fournis par lâ??utilisateur dans
MemCacheStore. Il existait éventuellement un comportement inattendu dans
MemCacheStore où, lorsque des entrées utilisateur non fiables étaient écrites
dans le stockage de cache en utilisant le paramètre « raw: true », la relecture
du résultat à partir du cache pouvait juger la saisie dâ??utilisateur comme un
objet déconverti au lieu dâ??un texte simple. La déconversion dâ??une saisie
utilisateur non fiable pouvait avoir un impact pouvant aller jusquâ??Ã une
exécution de code à distance. Au minimum, cette vulnérabilité permettait à un
attaquant dâ??injecter des objets Ruby dans une application web.</p>
<p>En plus de la mise à niveau vers la dernière version de Rails, les
développeurs doivent faire en sorte que chaque fois quâ??ils appellent
« Rails.cache.fetch », il utilisent des valeurs cohérentes du paramètre « raw »
pour la lecture comme lâ??écriture.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2:4.1.8-1+deb8u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets rails.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2251.data"
# $Id: $
#use wml::debian::translation-check translation="33ebf1e904556cb0c2760b7b76854f20b0df290b" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Drupal 7 possédait une vulnérabilité de redirection dâ??ouverture. Par
exemple, un utilisateur pourrait être amené à visiter un lien contrefait pour
l'occasion qui redirigerait vers une URL externe arbitraire.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 7.32-1+deb8u18.</p>
<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2250.data"
# $Id: $
Reply to: