[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2021/dla-261{4,6,7}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="8d550f7ec9637746917dd8638345ec9c4fe121b2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cyku Hong de DEVCORE a découvert que php-nette, un cadriciel MVC PHP, est
vulnérable à une attaque par injection de code en passant des paramètres
spécialement constitués à l’URL, conduisant éventuellement à une exécution de
code à distance.</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 2.4-20160731-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php-nette.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de php-nette, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/php-nette";>\
https://security-tracker.debian.org/tracker/php-nette</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2617.data"
# $Id: $

#use wml::debian::translation-check translation="bfb9d0ec9052de9c60ec367a3a8c7c7091f3e49d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dans XStream, il existait une vulnérabilité qui pouvait permettre à un
attaquant distant de charger et d’exécuter du code arbitraire à partir d’un
hôte distant simplement en manipulant le flux d’entrée traité.</p>

<p>Les hiérarchies de types pour java.io.InputStream, java.nio.channels.Channel,
javax.activation.DataSource et javax.sql.rowsel.BaseRowSet sont désormais
mises en liste noire ainsi que les types particuliers
com.sun.corba.se.impl.activation.ServerTableEntry,
com.sun.tools.javac.processing.JavacProcessingEnvironment$NameProcessIterator,
sun.awt.datatransfer.DataTransferer$IndexOrderComparator et
sun.swing.SwingLazyValue. De plus le type interne
Accessor$GetterSetterReflection de JAXB, les types internes
MethodGetter$PrivilegedGetter et ServiceFinder$ServiceNameIterator de JAX-WS,
toutes les classes internes de javafx.collections.ObservableList et un chargeur
de classe interne utilisé dans une copie privée BCEL font désormais partie
de la liste noire par défaut et la désérialisation de XML contenant un de ces
types échouera. Vous devez autoriser ces types à l’aide d’une configuration
explicite si vous en avez besoin.</p>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1.4.11.1-1+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxstream-java.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de libxstream-java, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/libxstream-java";>\
https://security-tracker.debian.org/tracker/libxstream-java</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2616.data"
# $Id: $

#use wml::debian::translation-check translation="7a08138c061c31448da5b1d7a6d1f01b7ceb1ca9" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le décompresseur gunzip de Busybox, un ensemble d’utilitaires pour des
systèmes petits et embarqués, gère de manière incorrecte le bit d’erreur sur
le pointeur du résultat de huft_build, aboutissant à une libération non valable
ou à une erreur de segmentation, à l’aide de données gzip malformées.</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 1:1.22.0-19+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets busybox.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de busybox, veuillez
consulter sa page de suivi de sécurité à l'adresse:
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/busybox";>\
https://security-tracker.debian.org/tracker/busybox</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2614.data"
# $Id: $
Reply to: