Bonjour, Le 24/08/2017 à 23:11, Alban Vidal a écrit : > Bonsoir, > On 08/23/2017 12:26 PM, jean-pierre giraud wrote: >> Passage en LCFC. Textes inchangés depuis le RFR2. >> Merci pour vos ultimes relectures. > Suggestion pour dsa-3939 et 3942, RAS pour le reste. > Cordialement, > Alban Suggestions reprises. Merci d'avance pour vos nouvelles relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Calum Hutton a signalé que le serveur XML-RPC dans supervisor, un système de contrôle d'état de processus, ne réalisait pas de validation des méthodes XML-RPC requises, permettant à un client authentifié d'envoyer une requête XML-RPC malveillante à supervisord qui exécutera des commandes d'interpréteur arbitraires sur le serveur avec le même utilisateur que supervisord.</p>
<p>La vulnérabilité a été corrigée en désactivant entièrement la recherche d'espace de noms imbriqué. Maintenant, supervisord appellera seulement les méthodes sur l'objet enregistré pour gérer les requêtes XML-RPC et non tous les objets fils qu'il peut contenir, cassant éventuellement les configurations existantes. Actuellement, il n'y a pas de greffon officiellement connu disponible qui puisse utiliser les espaces de noms imbriqués. Les greffons qui utilisent un espace de noms unique continueront à fonctionner comme avant. Vous trouverez des détails sur la publication de l'amont à l'adresse <a href="https://github.com/Supervisor/supervisor/issues/964";>https://github.com/Supervisor/supervisor/issues/964</a>.</p> <p>Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 3.0r1-1+deb8u1.</p> <p>Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 3.3.1-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets supervisor.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3942.data" # $Id: dsa-3942.wml,v 1.3 2017/08/27 12:32:40 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Aleksandar Nikolic a découvert qu'une erreur dans l'analyseur x509 de la bibliothèque de cryptographie Botan pourrait avoir pour conséquence une lecture de mémoire hors limites, aboutissant à un déni de service ou à une fuite d'informations lors du traitement d'un certificat mal formé.</p> <p>Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 1.10.8-2+deb8u2.</p> <p>Pour la distribution distribution stable (Stretch), ce problème a été corrigé avant la publication initiale.</p> <p>Nous vous recommandons de mettre à jour vos paquets botan1.10.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3939.data" # $Id: dsa-3939.wml,v 1.2 2017/08/27 12:32:40 jipege1-guest Exp $
