Bonjour, Dixit Jean-Pierre Giraud, le 19/07/2020 : >C'est corrigé. De nouvelles relectures ? Quelques suggestions. -la totalité de /var/lib/nfs plus rendue propriété de l'utilisateur de statd +la totalité de /var/lib/nfs n'est plus rendue propriété de l'utilisateur de statd Je casse la règle "pas de verbe", mais ça me paraît plus clair. -au moyen de messages HTML avec un svg/namespace malveillant [CVE-2020-15562] +au moyen de messages HTML malveillant avec un fichier svg dans l'espace de noms [CVE-2020-15562] C'est ce que je comprend de https://security-tracker.debian.org/tracker/CVE-2020-15562 >Le texte en anglais se trouve là : > >https://salsa.debian.org/webmaster-team/webwml/-/blob/master/french/News/2020/20200718.wml s/french/english/ pour la VO ! Baptiste
--- 00000342.20200718.wml 2020-07-20 14:38:40.632980084 +0200 +++ ./00000342.20200718-bj.wml 2020-07-20 14:49:10.698680410 +0200 @@ -81,7 +81,7 @@ <tr><th>Paquet</th> <th>Raison</th></tr> <correction acmetool "Reconstruction avec une version récente de golang pour récupérer des corrections de sécurité"> <correction atril "dvi : atténuation d'attaques par injection de commande en protégeant le nom de fichier [CVE-2017-1000159] ; correction de vérifications de débordement dans le dorsal de tiff [CVE-2019-1010006] ; tiff : gestion d'échec issu de TIFFReadRGBAImageOriented [CVE-2019-11459]"> -<correction bacula "Ajout du paquet de transition bacula-director-common, évitant la perte de /etc/bacula/bacula-dir.conf lors d'une purge ; fichiers PID rendus propriété de l'administrateur"> +<correction bacula "Ajout du paquet de transition bacula-director-common, évitant la perte de /etc/bacula/bacula-dir.conf lors d'une purge ; fichiers PID rendus propriété du superutilisateur"> <correction base-files "Mise à jour de /etc/debian_version pour cette version"> <correction batik "Correction d'une falsification de requêtes côté serveur au moyen d'attributs xlink:href [CVE-2019-17566]"> <correction c-icap-modules "Prise en charge de ClamAV 0.102"> @@ -122,7 +122,7 @@ <correction mod-gnutls "Suites de chiffrement obsolètes évitées dans l'ensemble de tests ; correction des échecs de tests quand ils sont combinés à des corrections d'Apache pour le CVE-2019-10092"> <correction mongo-tools "Reconstruction avec une version récente de golang pour récupérer des corrections de sécurité"> <correction neon27 "Traitement des échecs de tests liés à OpenSSL comme non fatals"> -<correction nfs-utils "Correction d'une possible vulnérabilité d'écrasement de fichier [CVE-2019-3689] ; la totalité de /var/lib/nfs plus rendue propriété de l'utilisateur de statd"> +<correction nfs-utils "Correction d'une possible vulnérabilité d'écrasement de fichier [CVE-2019-3689] ; la totalité de /var/lib/nfs n'est plus rendue propriété de l'utilisateur de statd"> <correction nginx "Correction d'une vulnérabilité de dissimulation de requête de la page d'erreur [CVE-2019-20372]"> <correction node-url-parse "Nettoyage des chemins et des hôtes avant l'analyse [CVE-2018-3774]"> <correction nvidia-graphics-drivers "Nouvelle version amont stable ; corrections de sécurité [CVE-2020-5963 CVE-2020-5967]"> @@ -139,7 +139,7 @@ <correction python-icalendar "Correction de dépendances à Python3"> <correction rails "Correction d'une vulnérabilité de script intersite possible au moyen de l'assistant d'échappement de Javascript [CVE-2020-5267]"> <correction rake "Correction d'une vulnérabilité d'injection de commande [CVE-2020-8130]"> -<correction roundcube "Correction d'un problème de vulnérabilité de script intersite au moyen de messages HTML avec un svg/namespace malveillant [CVE-2020-15562]"> +<correction roundcube "Correction d'un problème de vulnérabilité de script intersite au moyen de messages HTML malveillant avec un fichier svg dans l'espace de noms [CVE-2020-15562]"> <correction ruby-json "Correction d'une vulnérabilité de création d'objet non sûr [CVE-2020-10663]"> <correction ruby2.3 "Correction d'une vulnérabilité de création d'objet non sûr [CVE-2020-10663]"> <correction sendmail "Correction du résultat du processus de contrôle d'exécution de file d'attente en mode <q>split daemon</q>, <q>NOQUEUE: connect from (null)</q>, suppression d'échec lors de l'utilisation de BTRFS">
Attachment:
pgpQUoEkDpVEO.pgp
Description: Signature digitale OpenPGP