Bonjour, quatre nouvelles annonces de sécurité viennent d'être publiées. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Calum Hutton a signalé que le serveur XML-RPC dans supervisor, un système de contrôle d'état de processus, ne réalisait pas de validation des méthodes XML-RPC requises, permettant à un client authentifié d'envoyer une requête XML-RPC malveillante à supervisord qui exécutera des commandes d'interpréteur arbitraires sur le serveur avec le même utilisateur que supervisord.</p>
<p>La vulnérabilité a été corrigé en désactivant entièrement la recherche d'espace de noms imbriquée. Maintenant, supervisord appellera seulement les méthodes sur l'objet enregistré pour gérer les requêtes XML-RPC et non tous les objets fils qu'il peut contenir, cassant éventuellement les configurations existantes. Actuellement, il n'y a pas de greffons officiellement connus disponibles qui utilisent les espaces de noms imbriqués. Les greffons qui utilisent un espace de noms unique continueront à fonctionner comme avant. Vous trouverez des détails sur la publication de l'amont à l'adresse <a href="https://github.com/Supervisor/supervisor/issues/964";>https://github.com/Supervisor/supervisor/issues/964</a> .</p> <p>Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 3.0r1-1+deb8u1.</p> <p>Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 3.3.1-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets supervisor.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3942.data" # $Id: dsa-3942.wml,v 1.1 2017/08/13 21:11:56 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Un dépassement de tampon de lecture a été découvert dans la famille de moteurs de jeux idtech3 (Quake III Arena). Cela permet à des attaquants distants de provoquer un déni de service (plantage de l'application) ou éventuellement dâautres conséquences indéterminées à l'aide d'un paquet contrefait.</p> <p>Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1.50a+dfsg1-3+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets iortcw.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3941.data" # $Id: dsa-3941.wml,v 1.1 2017/08/13 21:11:55 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>CVS, un système de gestion de versions centralisé, ne gérait pas correctement des URL de dépôt construites de manière malveillante. Cela permettait à un attaquant d'exécuter une commande d'interpréteur arbitraire.</p> <p>Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 2:1.12.13+real-15+deb8u1.</p> <p>Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 2:1.12.13+real-22+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets cvs.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3940.data" # $Id: dsa-3940.wml,v 1.1 2017/08/13 21:11:55 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Aleksandar Nikolic a découvert qu'une erreur dans l'analyseur x509 de la bibliothèque de cryptographie Botan pourrait avoir pour conséquence une lecture de mémoire hors limites, aboutissant à un déni de service ou à une fuite d'informations lors du traitement d'un certificat mal formé.</p> <p>Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 1.10.8-2+deb8u2.</p> <p>Pour la distribution distribution (Stretch), ce problème a été corrigé avant la publication initiale.</p> <p>Nous vous recommandons de mettre à jour vos paquets botan1.10.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3939.data" # $Id: dsa-3939.wml,v 1.1 2017/08/13 21:11:54 jipege1-guest Exp $
