Bonjour,neuf nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="e313d2cfddd9cbaf0a087fbb234f82ea46240d9b" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Apache Batik, une bibliothèque SVG pour Java, permettait à des attaquants d'exécuter du code Java arbitraire en traitant un fichier SVG malveillant.</p> <p>Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 1.10-2+deb10u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets batik.</p> <p>Pour disposer d'un état détaillé sur la sécurité de batik, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/batik";>\ https://security-tracker.debian.org/tracker/batik</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow" href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3169.data" # $Id: $
#use wml::debian::translation-check translation="f3b1664a6ad1c717b34a049e88e8b8c8dccace4c" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un problème a été découvert dans openvswitch, un commutateur virtuel Ethernet à base logicielle.</p> <p>Ce problème concerne un dépassement de tampon de tas dans flow.c, qui pouvait conduire à un accès à une zone mémoire non mappée. Cela pouvait avoir pour conséquence le plantage du logiciel, une modification de la mémoire ou une potentielle exécution à distance.</p> <p>Pour Debian 10 Buster, ce problème a été corrigé dans la version 2.10.7+ds1-0+deb10u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets openvswitch.</p> <p>Pour disposer d'un état détaillé sur la sécurité de openvswitch, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/openvswitch";>\ https://security-tracker.debian.org/tracker/openvswitch</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3168.data" # $Id: $
#use wml::debian::translation-check translation="94a997f9919ee96ef2c6ec2a3e92ddc66ae97118" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un problème a été découvert dans ncurses, un ensemble de bibliothèques partagées pour l'utilisation d'un terminal. Ce problème concerne une lecture hors limites dans convert_strings de la bibliothèque terminfo.</p> <p>Pour Debian 10 Buster, ce problème a été corrigé dans la version 6.1+20181013-2+deb10u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets ncurses.</p> <p>Pour disposer d'un état détaillé sur la sécurité de ncurses, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/ncurses";>\ https://security-tracker.debian.org/tracker/ncurses</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LT";>https://wiki.debian.org/LT</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3167.data" # $Id: $
#use wml::debian::translation-check translation="77a44307ac82fb9029ad7c0fdd1b1776eb17b225" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité de traversée de fichier a été découverte dans src:ruby-sinatra, un serveur web répandu souvent utilisé avec Ruby on Rails. Le serveur vérifie désormais que les chemins développés correspondent au <q>public_dir</q> autorisé lors du service de fichiers statiques.</p> <p>Pour Debian 10 Buster, ce problème a été corrigé dans la version 2.0.5-4+deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets ruby-sinatra.</p> <p>Pour disposer d'un état détaillé sur la sécurité de ruby-sinatra, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/ruby-sinatra";>\ https://security-tracker.debian.org/tracker/ruby-sinatra</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3166.data" # $Id: $
#use wml::debian::translation-check translation="846ed996043561d351c3cd9c7ce144185fdb20c9" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existe dans src:expat, une bibliothèque C pour l'analyse du XML, une utilisation de mémoire après libération provoquée par une destruction trop pressée d'un DTD partagé dans la fonction XML_ExternalEntityParserCreate dans des situations d'épuisement de mémoire.</p> <p>Pour Debian 10 Buster, ce problème a été corrigé dans la version 2.2.6-2+deb10u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets expat.</p> <p>Pour disposer d'un état détaillé sur la sécurité de expat, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/expat";>\ https://security-tracker.debian.org/tracker/expat</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3165.data" # $Id: $
#use wml::debian::translation-check translation="51f7d5208ee4c3729e996e8ab383b834dd1966cc" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Django, un cadriciel populaire de développement web basé sur Python :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-24583";>CVE-2020-24583</a>: Correction de permissions incorrectes sur des répertoires de niveau intermédiaire dans Python 3.7+. Le mode FILE_UPLOAD_DIRECTORY_PERMISSIONS ne s'appliquait pas aux répertoires de niveau intermédiaire créés dans le processus de chargement de fichiers ni aux répertoires statiques collectés de niveau intermédiaire lors de l'utilisation de la commande de gestion collectstatic. Vous devrez examiner et corriger manuellement les permissions des répertoires de niveau intermédiaire existants.</li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-24584";>CVE-2020-24584</a>: Correction d'une vulnérabilité d'élévation de privilèges dans les répertoires de niveau intermédiaire du cache du système de fichiers. Dans les versions 3.7 et supérieures de Python, les répertoires de niveau intermédiaire du cache du système de fichiers avaient l'umask standard du système plutôt que 0o077 (pas de droits pour le groupe ou les autres utilisateurs).</li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3281";>CVE-2021-3281</a>: Correction d'une attaque possible de traversée de répertoires à l'aide d'archive.extract(). La fonction django.utils.archive.extract(), utilisée par <q>startapp --template</q> et <q>startproject --template</q>, permettait une traversée de répertoires à l'aide d'une archive avec des chemins absolus ou relatifs comportant des <q>.</q> et des <q>..</q>.</li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23336";>CVE-2021-23336</a>: Le correctif empêche une attaque d'empoisonnement de cache web à l'aide d'une dissimulation de paramètre. Django contient une copie d'urllib.parse.parse_qsl() qui a été ajoutée pour rétroporter certains correctifs de sécurité. Un correctif de sécurité supplémentaire a été publié récemment de sorte que parse_qsl() ne permet plus par défaut l'utilisation de <q>;</q> comme séparateur de paramètres de requête.</li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-34265";>CVE-2022-34265</a>: Les fonctions de base de données Trunc() et Extract() étaient sujettes à une attaque possible d'injection SQL si des données non sûres étaient utilisées comme valeur pour les paramètres <q>kind</q> ou <q>lookup_name</q>. Les applications qui restreignent le choix à une liste de valeurs sûres connues ne sont pas affectées.</li> </ul> <ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 1:1.11.29-1+deb10u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-django.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3164.data" # $Id: $
#use wml::debian::translation-check translation="9137c52b429c0f49916221a9d8cef8b1f5367739" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans Wordpress, un cadriciel populaire de gestion de contenu. Des défauts potentiels d'injection de code SQL et de script intersite (XSS) pouvaient permettre à un attaquant distant d'exécuter du code arbitraire ou de faciliter l'injection de scripts côté client.</p> <p>Pour Debian 10 Buster, ce problème a été corrigé dans la version 5.0.18+dfsg1-0+deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p> <p>Pour disposer d'un état détaillé sur la sécurité de wordpress, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/wordpress";>\ https://security-tracker.debian.org/tracker/wordpress</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow" href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3163.data" # $Id: $
#use wml::debian::translation-check translation="9cd7a2d4b4dae077e7c39b11baa6e8c634449c0e" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cette mise à jour inclut les modifications dans tzdata 2022e pour les liaisons Perl. Consultez l'annonce DLA-3161-1 pour connaître la liste des modifications.</p> <p>Pour Debian 10 Buster, ce problème a été corrigé dans la version 1:2.23-1+2022e.</p> <p>Nous vous recommandons de mettre à jour vos paquets libdatetime-timezone-perl.</p> <p>Pour disposer d'un état détaillé sur la sécurité de libdatetime-timezone-perl, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/libdatetime-timezone-perl";>\ https://security-tracker.debian.org/tracker/libdatetime-timezone-perl</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3162.data" # $Id: $
#use wml::debian::translation-check translation="c6e8eb7651edaf72a6a8b2fb3294855c3f28faa9" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cette mise à jour comprend les modifications de tzdata 2022e. Parmi les changements notables :</p> <p>− La Syrie et la Jordanie abandonnent le régime d'heure d'été et passent de façon permanente à UTC +03, ainsi ces pays ne reviendront pas à UTC +02 le 28 octobre 2022.</p> <p>Pour Debian 10 Buster, ce problème a été corrigé dans la version 2021a-0+deb10u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets tzdata.</p> <p>Pour disposer d'un état détaillé sur la sécurité de tzdata, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/tzdata";>\ https://security-tracker.debian.org/tracker/tzdata</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3161.data" # $Id: $
Attachment:
OpenPGP_signature
Description: OpenPGP digital signature