Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Trois vulnérabilités existaient dans le client HTTP (etc.) curl en ligne de commande :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16890";>CVE-2018-16890</a> <p>Une vulnérabilité de lecture hors limites de tampon de tas dans le traitement de messages NTLM de type 2.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3822";>CVE-2019-3822</a> <p>Un dépassement de pile dans le traitement dâen-têtes NTLM type 3 sortantes.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3823";>CVE-2019-3823</a> <p>Une lecture de tas hors limites dans le code gérant la fin de la réponse dans le protocole SMTP.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 7.38.0-4+deb8u14 de curl.</p> <p>Nous vous recommandons de mettre à jour vos paquets curl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1672.data" # $Id: $
#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20147";>CVE-2018-20147</a> <p>Des auteurs pourraient modifier les métadonnées pour contourner les restrictions prévues pour la suppression de fichiers.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20148";>CVE-2018-20148</a> <p>Des contributeurs pourraient réaliser des attaques par injection dâobjet PHP à lâaide de métadonnées contrefaites dans un appel wp.getMediaItem XMLRPC. Cela est provoqué par le mauvais traitement de données sérialisées dans phar://·URLs dans la fonction wp_get_attachment_thumb_file dans wp-includes/post.php.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20149";>CVE-2018-20149</a> <p>Lorsque le serveur HTTP Apache HTTP est utilisé, des auteurs pourraient téléverser des fichiers contrefaits contournant les restrictions de type MIME prévues, conduisant à une faille XSS, comme démontré par un fichier .jpg sans données JPEG.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20150";>CVE-2018-20150</a> <p>Des URL contrefaits pourraient faire apparaitre des failles XSS pour certains cas dâutilisation impliquant des greffons.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20151";>CVE-2018-20151</a> <p>La page dâaccueil de lâutilisateur pourrait être lue par un robot dâindexation de moteur de recherche si une configuration inhabituelle était choisie. Le moteur de recherche pourrait alors indexer et afficher lâadresse de courriel de lâutilisateur et (rarement) le mot de passe généré par défaut.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20152";>CVE-2018-20152</a> <p>Des auteurs pourraient contourner des restrictions prévues sur des types dâarticle à lâaide dâentrée contrefaite.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20153";>CVE-2018-20153</a> <p>Des contributeurs pourraient modifier de nouveaux commentaires faits par des utilisateurs avec de meilleurs privilèges, éventuellement causant une faille XSS.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4.1.25+dfsg-1+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1673.data" # $Id: $
#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>php-pear dans php5 contient les vulnérabilités CWE-502 (désérialisation de données non fiables) et CWE-915 (modification improprement contrôlée dâattributs dâobjet déterminés dynamiquement) dans sa classe Archive_Tar. Lorsque extract est appelé sans un chemin préfixé particulier, cela peut provoquer la désérialisation en contrefaisant un fichier tar avec `phar://[path_vers_fichier_phar_malveillant]` comme path. Lâinjection dâobjet peut être utilisée pour déclencher destruct dans les classes PHP chargées, avec une exécution de code possible à distance conduisant à des suppressions de fichiers ou éventuellement leurs modifications.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 5.6.39+dfsg-0+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets php5.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1674.data" # $Id: $
#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Alexander Kjäll et Stig Palmquist ont découvert une vulnérabilité dans python-gnupg, une enveloppe autour de GNU Privacy Guard. Il était possible dâinjecter des données à lâaide de la propriété de phrase secrète des fonctions gnupg.GPG.encrypt() et gnupg.GPG.decrypt() lorsque le chiffrement symétrique est utilisé. La phrase secrète fournie nâest pas validée pour "newline" et la bibliothèque transmet --passphrase-fd=0 à lâexécutable gpg qui attend la phrase de passe sur la première ligne de stdin, et le texte chiffré à déchiffré ou le texte simple à chiffré sur les lignes suivantes.</p> <p>En fournissant une phrase secrète contenant un "newline", un attaquant peut contrôler ou modifier le texte chiffré ou simple à déchiffré ou chiffré.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 0.3.6-1+deb8u1. <p>Nous vous recommandons de mettre à jour vos paquets python-gnupg.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1675.data" # $Id: $
#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Ralph Dolmans et Karst Koymans ont trouvé un défaut dans la manière dont unbound, un solveur de validation, mise en cache et récursif de DNS, validait des enregistrements NSEC synthétisés avec des jokers.</p> <p>Un enregistrement de joker NSEC improprement validé pourrait être utilisé pour prouver la non-existence (réponse NXDOMAIN) dâun enregistrement de joker existant, ou tromper unbound pour accepter une attestation NODATA.</p> <p>Pour plus dâinformations, veuillez vous référer à lâannonce amont sur <a href="https://unbound.net/downloads/";>https://unbound.net/downloads/</a><a href="https://security-tracker.debian.org/tracker/CVE-2017-15105";>CVE-2017-15105</a>.txt.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1.4.22-3+deb8u4. <p>Nous vous recommandons de mettre à jour vos paquets unbound.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1676.data" # $Id: $
