[RFR] wml://lts/security/2021/dla-26{48,48-2}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="6ab43a002a72dd6247c244201a8ba8ff33933bc3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le rectificatif de la dernière publication de l’amont, pour corriger le
<a href="https://security-tracker.debian.org/tracker/CVE-2021-30152";>CVE-2021-30152</a>,
n’était pas portable pour la version de sécurité de Stretch faisant que les API
de MediaWiki échouaient. Cette mise à jour inclut un correctif de la publication
REL_31 de l’amont qui règle ce problème.</p>
<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 1:1.27.7-1~deb9u9.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mediawiki.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de mediawiki, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/mediawiki";>\
https://security-tracker.debian.org/tracker/mediawiki</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2648-2.data"
# $Id: $
#use wml::debian::translation-check translation="12c4cca978047502571c8088389091e82d309993" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans MediaWiki, un moteur
e site web pour travail collaboratif.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20270";>CVE-2021-20270</a>
<p>Une boucle infinie dans SMLLexer dans Pygments, utilisé par mediawiki comme
un de ses analyseurs lexicaux, pourrait conduire à un déni de service lors de
la coloration syntaxique d’un fichier source Standard ML (SML), comme le montre
une entrée contenant uniquement le mot-clé <q>exception</q>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-27291";>CVE-2021-27291</a>
<p>Pygments et les analyseurs syntaxiques utilisés par mediawiki reposent
fortement sur les expressions rationnelles. Certaines de ces expressions
rationnelles ont une complexité dans le pire des cas exponentielles ou cubiques
et sont vulnérables à un déni de service par expression rationnelle. En
trafiquant une entrée, un attaquant peut provoquer un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-30152";>CVE-2021-30152</a>
<p>Un problème a été découvert dans MediaWiki. Lors de l’utilisation de l’API
MediaWiki API pour <q>protéger</q> une page, un utilisateur est présentement
capable de protéger à un plus haut niveau que ses permissions lui permettent.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-30155";>CVE-2021-30155</a>
<p>Un problème a été découvert dans MediaWiki. ContentModelChange ne vérifie pas
si un utilisateur à les permissions correctes pour créer et définir le modèle
de contenu pour une page non existante.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-30158";>CVE-2021-30158</a>
<p>Un problème a été découvert dans MediaWiki. Les utilisateurs bloqués sont
incapables d’utiliser Special:ResetTokens. Cela relève de la sécurité car un
utilisateur bloqué pourrait accidentellement avoir partagé un jeton ou pourrait
savoir qu’un jeton a été compromis et de plus serait incapable de bloquer une
utilisation potentielle du jeton par un tiers non autorisé.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-30159";>CVE-2021-30159</a>
<p>Un problème a été découvert dans MediaWiki. Les utilisateurs pourraient
contourner les restrictions voulues de suppression de pages dans certaines
situations <q>fast double move</q>. MovePage::isValidMoveTarget() utilise FOR
UPDATE, mais il est seulement appelé si Title::getArticleID() renvoie une
valeur différente de zéro sans indicateurs spéciaux. De plus,
MovePage::moveToInternal() supprimera la page si getArticleID(READ_LATEST) est
différent de zéro. Par conséquent, si la page est manquante dans la copie de
base de données, isValidMove() renverra vrai et alors moveToInternal()
supprimera inconditionnellement la page si elle peut être trouvée dans le
document maître.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1:1.27.7-1~deb9u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mediawiki.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de mediawiki, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/mediawiki";>\
https://security-tracker.debian.org/tracker/mediawiki</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2648.data"
# $Id: $
Reply to: