[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2020/dla-213{2,4,5}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="9a536f0d8196daaf76f08c61323d112478afe288" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Les CVE suivant ont été signalés pour le paquet source jackson-databind.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9546";>CVE-2020-9546</a>

<p>jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement
lâ??interaction entre des gadgets de sérialisation et la saisie, relatifs à
org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (c'est-à-dire,
shaded hikari-config).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9547";>CVE-2020-9547</a>

<p>jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement
lâ??interaction entre des gadgets de sérialisation et la saisie, relatifs à
com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (c'est-à-dire,
ibatis-sqlmap).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9548";>CVE-2020-9548</a>

<p>jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement
lâ??interaction entre des gadgets de sérialisation et la saisie, relatifs à
br.com.anteros.dbcp.AnterosDBCPConfig (c'est-à-dire, anteros-core).</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.4.2-2+deb8u12.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jackson-databind.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2135.data"
# $Id: $

#use wml::debian::translation-check translation="45fb3aa59909711d59a39e8eccea8e0f203ed4e3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert quâ??il existait une vulnérabilité dâ??écriture hors limites
dans pdfresurrect, un outil pour extraire ou nettoyer des données de versionnage
à partir de documents PDF.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9549";>CVE-2020-9549</a>

<p>Dans PDFResurrect 0.12 jusquâ??à 0.19, get_type dans pdf.c avait une écriture
hors limites à l'aide d'un fichier PDF contrefait.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 0.12-5+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets pdfresurrect.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2134.data"
# $Id: $

#use wml::debian::translation-check translation="24a355a24119c20247e94866e14d05fb547c939c" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert quâ??il existait un problème lorsque des permissions par
défaut pour un stockage de cookie HTTP pouvaient permettre à des attaquants
locaux de lire des identifiants privés dans <tt>libzypp</tt>, une bibliothèque
de gestion de paquets qui permet aux applications, telles que YaST, zypper et
lâ??implémentation openSUSE/SLEKit de PackageKit, de fonctionner</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-18900";>CVE-2019-18900</a>

<p>Une vulnérabilité de permissions par défaut incorrectes dans libzypp de CaaS
Platform 3.0, Linux serveur Enterprise 12, Linux serveur Enterprise 15 de SUSE
permettait à des attaquants locaux de lire un stockage de cookie utilisé par
libzypp, en exposant des cookies privés. Ce problème affecte libzypp versions
avant 16.21.2-27.68.1 de CaaS Platform 3.0,  libzypp versions avant 16.21.2-2.45.1
de Linux serveur Enterprise 12 et Linux Enterprise Server version 15 17.19.0-3.34.1
de SUSE.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 14.29.1-2+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libzypp.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2132.data"
# $Id: $
Reply to: