On 24/08/2020 12:28, JP Guillonneau wrote: > Bonjour, > > Ces annonces de sécurité ont été publiées. > Les fichiers sont aussi disponibles ici : > https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml > https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml > > Merci d’avance pour vos relectures. > > Amicalement. > > -- > Jean-Paul > Bonjour,
nuances sans gravité, amicalement.
--- dla-2337A.wml 2020-08-24 17:49:58.573960942 +0400 +++ dla-2337.wml 2020-08-24 17:56:25.388486636 +0400 @@ -39,7 +39,7 @@ si l’attaquant contrôle un paramètre d’URL, comme le montre le premier argument d’urllib.request.urlopen avec \r\n (particulièrement avec la chaîne de requête après un caractère ?) suivi par un en-tête HTTP ou une commande Redis. Cela est -similaire au problème de requête de chaîne +similaire au problème de requête de chaîne. <a href="https://security-tracker.debian.org/tracker/CVE-2019-9740">CVE-2019-9740</a>. </p></li> @@ -56,11 +56,11 @@ <a href="https://security-tracker.debian.org/tracker/CVE-2019-9636">CVE-2019-9636</a> a été découverte qui permet encore à un attribut d’exploiter <a href="https://security-tracker.debian.org/tracker/CVE-2019-9636">CVE-2019-9636</a> -en exploitant les parties utilisateur et mot de passe d’une URL. Lorsqu’une -application analyse une URL fournie par l’utilisateur pour stocker les cookies, -les accréditations ou d’autres sortes d’information, il est possible pour un -attaquant de fournir des URL contrefaites pour l'occasion pour que l’application -identifie des informations relatives à l’hôte (par exemple, cookies, données +les parties utilisateur et mot de passe d’une URL. Lorsqu’une application analyse +une URL fournie par l’utilisateur pour stocker les cookies,les accréditations ou +d’autres sortes d’informations, il est possible pour un attaquant de fournir des +URL contrefaites pour l'occasion afin que l’application identifie des +informations relatives à l’hôte (par exemple, cookies, données d’authentification) et les envoie au mauvais hôte, contrairement à l’analyse correcte d’une URL. Cette attaque aboutit différemment selon l’application.</p></li>
--- dla-2338A.wml 2020-08-24 17:50:20.686054077 +0400 +++ dla-2338.wml 2020-08-24 17:57:18.287518582 +0400 @@ -2,8 +2,8 @@ <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs fuites de mémoire ont été découvertes dans proftpd-dfsg, un démon -FTP polyvalent d’hébergement virtuel, lorsque mod_facl ou mod_sftp sont utilisés, -qui pourraient conduire à un épuisement de mémoire et un déni de service.</p> +FTP polyvalent d’hébergement virtuel, lorsque mod_facl ou mod_sftp sont utilisés. +Elles pourraient conduire à un épuisement de mémoire et un déni de service.</p> <p>La mise à jour rend les mises à niveau automatiques de proftpd-dfsg de Debian 8 vers Debian 9 de nouveau possibles.</p>
--- dla-2339A.wml 2020-08-24 17:50:37.550125107 +0400 +++ dla-2339.wml 2020-08-24 17:58:44.744293493 +0400 @@ -3,16 +3,16 @@ <define-tag moreinfo> <p>Jason A. Donenfeld a découvert une injection de séquence d’échappement ANSI dans software-properties, un gestionnaire pour les sources des dépôts d’apt. -Un attaquant pourrait manipuler l’écran de l’utilisateur pour inciter à installer un -dépôt supplémentaire (PPA).</p> +Un attaquant pourrait manipuler l’écran de l’utilisateur pour l'inciter à +installer un dépôt supplémentaire (PPA).</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 0.96.20.2-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets software-properties.</p> -<p>Pour disposer d'un état détaillé sur la sécurité de software-properties, veuillez -consulter sa page de suivi de sécurité à l'adresse : +<p>Pour disposer d'un état détaillé sur la sécurité de software-properties, +veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/software-properties">https://security-tracker.debian.org/tracker/software-properties</a></p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
--- dla-2340A.wml 2020-08-24 17:51:08.566255745 +0400 +++ dla-2340.wml 2020-08-24 18:00:28.040905175 +0400 @@ -13,7 +13,7 @@ <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20346">CVE-2018-20346</a> -<p>Lorsque l’extension FTS3 est active, sqlite3 est confronté à un dépassement +<p>Lorsque l’extension FTS3 est active, sqlite3 est confrontée à un dépassement d'entier (et le dépassement de tampon consécutif) pour les requêtes FTS3 qui surviennent après des modifications faites sur des <q>shadow tables</q>, permettant à des attaquants distants d’exécuter du code arbitraire en exploitant @@ -21,7 +21,7 @@ <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20506">CVE-2018-20506</a> -<p>Lorsque l’extension FTS3 est active, sqlite3 est confronté à un dépassement +<p>Lorsque l’extension FTS3 est active, sqlite3 est confrontée à un dépassement d'entier (et le dépassement de tampon consécutif) pour les requêtes FTS3 dans une opération <q>merge</q> qui surviennent après des modifications faites sur des <q>shadow tables</q>, permettant à des attaquants distants d’exécuter du @@ -30,7 +30,7 @@ <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-5827">CVE-2019-5827</a> -<p>Un dépassement d'entier permettait à un attaquant distant d’éventuellement +<p>Un dépassement d'entier permettrait à un attaquant distant d’éventuellement exploiter une corruption de tas à l'aide d'une page HTML contrefaite, et impactait principalement chromium.</p></li>