Bonjour, Dixit JP Guillonneau, le 09/05/2019 : >Ces (anciennes) annonces de sécurité ont été publiées.
Corrections et reformulations. Baptiste
--- 0000038e.dla-1395.wml 2019-05-14 11:00:54.203323041 +0200 +++ ./0000038e.dla-1395-bj.wml 2019-05-14 11:01:49.562709229 +0200 @@ -3,7 +3,7 @@ <define-tag moreinfo> <p>Deux vulnérabilités dâexécution de code à distance dans php-horde-image, la bibliothèque de traitement d'images pour la suite de travail collaboratif Horde -<url "https://www.horde.org/";>.</p> +<url "https://www.horde.org/";> ont été découvertes.</p> <ul> @@ -13,7 +13,7 @@ à divers dorsaux dâimage.</p> <p>Remarquez que le correctif appliqué en amont possède une régression en ce -quâil ignore lâoption <q>force aspect ratio</q>. Consulter +quâil ignore lâoption <q>force aspect ratio</q>. Consultez <a href="https://github.com/horde/Image/pull/1";>https://github.com/horde/Image/pull/1</a>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14650";>CVE-2017-14650</a>
--- 00000394.dla-1399.wml 2019-05-14 11:03:57.241080111 +0200 +++ ./00000394.dla-1399-bj.wml 2019-05-14 11:06:20.063494164 +0200 @@ -18,9 +18,9 @@ <p>Une vulnérabilité a été découverte par lâéquipe Pulse Security. Elle était exploitable seulement lors de lâexécution de passenger_instance_registry_dir non -standard, à l'aide d'un situation de compétition où après un fichier était créé, -il existait une fenêtre dans laquelle il pouvait être remplacé par un lien -symbolique avant dâêtre « chowned » à lâaide du chemin et pas avec le +standard, à l'aide d'une situation de compétition lorsque, après la création d'un fichier, +il existait une durée pendant laquelle il pouvait être remplacé par un lien +symbolique avant de changer de propriétaire à lâaide du chemin (« chown ») et pas avec le descripteur de fichier. Si la cible du lien symbolique était un fichier qui devait être exécuté par root tel quâun fichier crontab, alors une élévation des privilèges était possible. Cela est maintenant limité par lâutilisation de
pgpUwbXhXIE2J.pgp
Description: Signature digitale OpenPGP
