[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2020/dla-216{6,7}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="f38f1980e424fc952810c4a4b639ecae466b2de1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité a été découverte dans python-bleach, une bibliothèque de
nettoyage dâ??HTML basée sur une liste blanche. Les appels à bleach.clean, avec une
étiquette autorisée munie dâ??un attribut de style autorisé, étaient vulnérables
à un déni de service par expression rationnelle (ReDOS).</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.4-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-bleach.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2167.data"
# $Id: $

#use wml::debian::translation-check translation="d809e8a47b5e419f7e1225cd2d4ed884d4cb964f" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Le module PAM de krb5 (pam_krb5.so) contenait un dépassement de tampon
pouvant provoquer une exécution de code à distance dans des situations impliquant
des invites supplémentaires par une bibliothèque Kerberos. Cela pouvait
dépasser la limite du tampon fourni par la bibliothèque Kerberos sous-jacente
dâ??un seul octet « \0 » si un attaquant réagissait à une invite avec une réponse
dâ??une longueur soigneusement choisie. Lâ??effet pouvait se situer entre une
corruption de pile et une corruption de tas selon la structure de la bibliothèque
Kerberos sous-jacente, avec des effets inconnus mais possiblement une exécution
de code. Cette méthode de code nâ??était pas utilisée pour une authentification
normale, mais seulement lorsque la bibliothèque Kerberos réalisait des invites
supplémentaires, telles quâ??avec PKINIT ou lors de lâ??utilisation de lâ??option
no_prompt non standard de PAM.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 4.6-3+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libpam-krb5.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2166.data"
# $Id: $
Reply to: