[RFR] wml://lts/security/2020/dla-23{32-2,96,97,98,99}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="a5930e9a6b786095b420236a41293d34f49875c3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes packagekit, un service de gestion de
paquets.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-16121";>CVE-2020-16121</a>

<p>Vaisha Bernard a découvert que PackageKit gérait incorrectement certaines
méthodes. Un attaquant local pourrait utiliser cela pour connaître le type MIME
de nâ??importe quel fichier sur le système.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-16122";>CVE-2020-16122</a>

<p>Sami Niemimäki a découvert que PackageKit gérait incorrectement certains
paquets deb locaux. Un utilisateur local pourrait éventuellement utiliser cela
pour installer des paquets non autorisés.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1.1.5-2+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets paquetskit.</p>

<p>Pour disposer d'un état détaillé sur la sécurité paquets dekit, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/packagekit";>https://security-tracker.debian.org/tracker/packagekit</a>.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2399.data"
# $Id: $

#use wml::debian::translation-check translation="1721318e4931a6644ae5d066132365cb278ba026" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans puma, un
serveur HTTP hautement concurrent pour les applications Ruby/Rack.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11076";>CVE-2020-11076</a>

<p>En utilisant un en-tête dâ??encodage de transfert non valable, un attaquant
pourrait introduire subrepticement une réponse HTTP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11077";>CVE-2020-11077</a>

<p>Un client pourrait dissimuler une requête à travers un mandataire, amenant le
mandataire à renvoyer une réponse à un client inconnu. Si le mandataire utilise
des connexions persistantes et que le client ajoute une autre requête à  lâ??aide
dâ??enchainements (<q>pipelining</q>) HTTP, un mandataire pourrait la confondre
comme étant le corps de la première requête. Puma, cependant, le verrait comme
deux requêtes, et lors du traitement de la seconde requête, renverrait une
réponse inattendue par le mandataire. Si le mandataire avait réutilisé la
connexion persistante vers Puma pour envoyer une autre requête à un client
différent, la seconde réponse du premier client serait envoyée au second
client.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 3.6.0-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets puma.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de puma, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/puma";>https://security-tracker.debian.org/tracker/puma</a>.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2398.data"
# $Id: $

#use wml::debian::translation-check translation="e026257f08e526d1c102bd7a480750b606d6b2e2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans PHP, un langage de script embarqué
dans du HTML et côté serveur. Lorsque PHP traite des valeurs de cookies dâ??HTTP
entrant, les noms des cookies sont traités comme des URL. Cela pourrait
conduire à des cookies avec des préfixes tels que __Host confondus avec des
cookies décodant de tels préfixes, permettant à un attaquant de falsifier un
cookie supposé fiable.</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 7.0.33-0+deb9u10.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php7.0.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de php7.0, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/php7.0";>https://security-tracker.debian.org/tracker/php7.0</a>.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2397.data"
# $Id: $

#use wml::debian::translation-check translation="07f1f4542ae27ab8d0d08302c40939e8985b6ace" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans tigernvc, une mise en Å?uvre de
serveur et client dâ??informatique virtuelle en réseau (VNC). Lâ??implémentation
de lâ??afficheur gérait incorrectement les exceptions de certificats TLS, stockant
les certificats en tant quâ??autorités, ce qui signifiait que le propriétaire dâ??un
certificat pouvait usurper lâ??identité de nâ??importe quel serveur après quâ??un
client ait ajouté une exception.</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 1.7.0+dfsg-7+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tigervnc.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de tigervnc, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/tigervnc";>https://security-tracker.debian.org/tracker/tigervnc</a>.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2396.data"
# $Id: $

#use wml::debian::translation-check translation="16af0f16599c3e5ccb0146e2a33757125dd9948f" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une régression a été introduite par la DLA-2332-1, où les modifications dans
le processus de construction de paquet provoquait un bogue dans le paquet
sane-backends, conduisant à des fichiers manquants.</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 1.0.25-4.1+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets sane-backends.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de sane-backends, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/sane-backends";>https://security-tracker.debian.org/tracker/sane-backends</a>.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2332-2.data"
# $Id: $