Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="3263a88b9236350e8abab16cabd24c004e2aabc6" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été trouvées dans Ruby on Rails, un cadriciel MVC basé sur Ruby adapté au développement dâapplications web, qui pourraient conduire à une exécution de code à distance et lâutilisation de saisies utilisateur, selon lâapplication.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8164">CVE-2020-8164</a> <p>Vecteur de contournement de paramètres forts dans ActionPack. Dans certains cas, lâinformation fournie par lâutilisateur pourrait être divulguée par inadvertance à partir des paramètres forts. Particulièrement, la valeur renvoyée par « each », « each_value » ou « each_pair » renverrait le hachage de données sous-jacentes <q>non fiables</q> qui était lu de ces paramètres. Les applications qui utilisent cette valeur de retour pourraient involontairement utiliser des entrées utilisateur non fiables.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8165">CVE-2020-8165</a> <p>Déconversion potentielle inattendue dâobjets fournis par lâutilisateur dans MemCacheStore. Il existait éventuellement un comportement inattendu dans MemCacheStore où, lorsque des entrées utilisateur non fiables étaient écrites dans le stockage de cache en utilisant le paramètre « raw: true », la relecture du résultat à partir du cache pouvait juger la saisie dâutilisateur comme un objet déconverti au lieu dâun texte simple. La déconversion dâune saisie utilisateur non fiable pouvait avoir un impact pouvant aller jusquâà une exécution de code à distance. Au minimum, cette vulnérabilité permettait à un attaquant dâinjecter des objets Ruby dans une application web.</p> <p>En plus de la mise à niveau vers la dernière version de Rails, les développeurs doivent faire en sorte que chaque fois quâils appellent « Rails.cache.fetch », il utilisent des valeurs cohérentes du paramètre « raw » pour la lecture comme lâécriture.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2:4.1.8-1+deb8u7.</p> <p>Nous vous recommandons de mettre à jour vos paquets rails.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2251.data" # $Id: $
#use wml::debian::translation-check translation="33ebf1e904556cb0c2760b7b76854f20b0df290b" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Drupal 7 possédait une vulnérabilité de redirection dâouverture. Par exemple, un utilisateur pourrait être amené à visiter un lien contrefait pour l'occasion qui redirigerait vers une URL externe arbitraire.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 7.32-1+deb8u18.</p> <p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2250.data" # $Id: $