Bonjour, Le 25/07/2017 à 09:13, JP Guillonneau a écrit : > Bonjour, > suggestions. > Amicalement. > -- > Jean-Paul Corrigé. Merci d'avance pour vos nouvelles relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Possibilité de déni de service dans la vue logout() par remplissage du stockage de session.</p>
<p>Auparavant, une session pouvait être créée lors d'un accès anonyme à la vue django.contrib.auth.views.logout (à condition qu'elle ne soit pas décorée avec django.contrib.auth.decorators.login_required comme c'est fait avec l'interface d'administration). Cela pourrait permettre à un attaquant de créer facilement plusieurs nouveaux enregistrements en envoyant des requêtes répétées, et éventuellement de saturer le stockage de session ou d'évincer les enregistrements de session d'autres utilisateurs.</p> <p>L'intergiciel django.contrib.sessions.middleware.SessionMiddleware a été modifié pour ne plus créer des enregistrements de session vide.</p> <p>Il a été assigné à cette partie du correctif le <a href="https://security-tracker.debian.org/tracker/CVE-2015-5963";>CVE-2015-5963</a>.</p> <p>De plus, les méthodes contrib.sessions.backends.base.SessionBase.flush() et cache_db.SessionStore.flush() ont été modifiées pour éviter également la création d'une nouvelle session vide. Les responsables de dorsal de session tiers devraient vérifier si la même vulnérabilité est présente dans leur dorsal et la corriger le cas échéant.</p> <p>Il a été assigné à cette partie du correctif le <a href="https://security-tracker.debian.org/tracker/CVE-2015-5964";>CVE-2015-5964</a>.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-django.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-301.data" # $Id: dla-301.wml,v 1.2 2017/07/28 23:25:47 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts et résolus dans OpenSLP qui implémente le protocole standard de découverte de services (« SLP ») de l'EITF (Internet Engineering Task Force)<ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2010-3609";>CVE-2010-3609</a> <p>Des attaquants distants pourraient provoquer un déni de service dans le démon du protocole de découverte de services (SLPD) à l'aide d'un paquet contrefait avec un <q>next extension offset</q>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4428";>CVE-2012-4428</a> <p>Georgi Geshev a découvert qu'une erreur de lecture hors limites dans la fonction SLPIntersectStringList() pourrait être utilisée pour provoquer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5177";>CVE-2015-5177</a> <p>Une double libération de zone de mémoire dans la fonction SLPDProcessMessage() pourrait être utilisée pour provoquer le plantage d'openslp.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 1.2.1-7.8+deb6u1 d'openslp-dfsg.</p> <p>Nous vous recommandons de mettre à jour vos paquets openslp-dfsg.</p></li> </ul> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-304.data" # $Id: dla-304.wml,v 1.2 2017/07/28 23:25:47 jipege1-guest Exp $
