[RFR] wml://lts/security/2021/dla-259{5,6,7}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="66af9e8afbf4d4c7f978a1130674ac0eec6e1425" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert qu’il existait une vulnérabilité de script intersite (XSS)
dans <tt>velocity-tools</tt>, une collection d’outils utiles pour le moteur de
patron <q>Velocity</q>.</p>
<p>La page par défaut d’erreur pourrait être exploitée pour dérober les cookies
de session, pour réaliser des requêtes au nom de la victime ou pour des
attaques par hameçonnage ou d’autres attaques similaires.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13959";>CVE-2020-13959</a>
<p>La page par défaut d’erreur pour VelocityView dans les outils d’Apache
Velocity avant la version 3.1 renvoie à un fichier vm qui était entré comme
partie de l’URL. Un attaquant peut régler un fichier de charge XSS comme fichier
vm dans cette URL qui aboutit à ce que cette charge soit exécutée. Les
vulnérabilités XSS permettent à des attaquants d’exécuter du JavaScript
arbitraire dans le contexte du site web attaqué et de l’utilisateur attaqué.
Cela peut être utilisé pour dérober des cookies de session, pour réaliser des
requêtes au nom de la victime ou pour des attaquer par hameçonnage.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 2.0-6+deb9u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets velocity-tools.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2597.data"
# $Id: $
#use wml::debian::translation-check translation="70409f71e480d72b7de908db237a7be1c733a7ca" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans la suite shadow d’outils
de connexion. Un attaquant peut augmenter ses privilèges dans des configurations
particulières.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-20002";>CVE-2017-20002</a>
<p>Shadow liste de manière incorrecte pts/0 et pts/1 comme des terminaux
physiques dans /etc/securetty. Cela permet à des utilisateurs locaux pour se
connecter comme utilisateurs sans mot de passe s’ils sont connectés par des
moyens non matériels tels que SSH (par conséquent en contournant nullok_secure
de la configuration PAM). Cela affecte notablement les environnements tels que
des machines virtuelles générées automatiquement avec un mot de passe
administrateur vierge, permettant à des utilisateurs locaux d’augmenter leurs
privilèges. Il est à noter cependant que /etc/securetty sera supprimé dans
Debian 11, Bullseye.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12424";>CVE-2017-12424</a>
<p>L’outil de nouvel utilisateur pourrait être construit pour manipuler des
structures de données internes d’une matière inattendue par leurs auteurs. Une
entrée mal formée peut conduire à des plantages (avec un dépassement de tampon
ou une autre corruption de mémoire) ou d’autres comportements non précisés. Cela
outrepasse la frontière des privilèges dans, par exemple, certains
environnements d’hébergement web avec un panneau de contrôle permettant à un
compte utilisateur non privilégié de créer des sous-comptes.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1:4.4-4.1+deb9u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets shadow.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de shadow, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/shadow";>\
https://security-tracker.debian.org/tracker/shadow</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2596.data"
# $Id: $
#use wml::debian::translation-check translation="b967d3421b79b51ecabb192534f3211bef2a6286" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert qu’il existait une vulnérabilité d’exécution potentielle
de code arbitraire dans velocity, un moteur de patron basé sur Java pour écrire
des applications web. Elle pourrait être exploitée par des applications qui
permettent à des utilisateurs de téléverser ou de modifier des patrons.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13936";>CVE-2020-13936</a>
<p>Un attaquant qui est capable de modifier des patrons de Velocity peut
exécuter du code Java arbitraire ou des commandes de système arbitraires avec
les mêmes privilèges que le compte exécutant le conteneur du servlet. Cela
s’applique aux applications qui autorisent les utilisateurs non authentifiés
à téléverser ou modifier des patrons velocity exécutant le moteur Velocity
d’Apache, versions jusqu’à la version 2.2.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1.7-5+deb9u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets velocity.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2595.data"
# $Id: $
Reply to: