From fe63746b74ad704d31e4336ae3336c6accc3560a Mon Sep 17 00:00:00 2001
From: jptha-guest Il a été découvert qu’il existait un problème d’échappement dans
+libphp-phpmailer, une classe d’utilitaires de création de courriel pour le
+langage de programmation PHP. Les en-têtes « Content-Type » et « Content-Disposition » pouvaient
+permettre à des pièces jointes de fichier de contourner les filtres pour
+pièces jointes de correspondance d’extension de nom de fichier. Pour Debian 9 Nous vous recommandons de mettre à jour vos paquets libphp-phpmailer. Pour disposer d'un état détaillé sur la sécurité de libphp-phpmailer, veuillez
+consulter sa page de suivi de sécurité à l'adresse :
+https://security-tracker.debian.org/tracker/libphp-phpmailer Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
+appliquer ces mises à jour dans votre système et les questions fréquemment posées
+peuvent être trouvées sur : https://wiki.debian.org/LTS.Stretch
, ce problème a été corrigé dans
+la version 5.2.14+dfsg-2.3+deb9u2.
Une utilisateur malveillant pouvait amener clamscan, clamdscan ou clamonacc +
Un utilisateur malveillant pouvait amener clamscan, clamdscan ou clamonacc à déplacer ou supprimer un fichier différent de celui attendu quand ceux-ci étaient utilisés avec une des options --move ou --remove. Cela pouvait être utilisé pour supprimer des fichiers spéciaux du système.
Le texte de la DLA est dans le CVE en référence.
+ +Pour Debian 9 Stretch
, ce problème a été corrigé dans
+la version 1.12.0-1+deb9u1.
Nous vous recommandons de mettre à jour vos paquets ruby-kramdown.
+ +Pour disposer d'un état détaillé sur la sécurité de ruby-kramdown, veuillez +consulter sa page de suivi de sécurité à l'adresse : +https://security-tracker.debian.org/tracker/ruby-kramdown
+ +Plus d’informations à propos des annonces de sécurité de Debian LTS, comment +appliquer ces mises à jour dans votre système et les questions fréquemment posées +peuvent être trouvées sur : https://wiki.debian.org/LTS.
+Il a été constaté que dans Pillow avant la version 7.1.0, il existait +plusieurs lectures hors limites dans libImaging/FliDecode.c.
+ +Pour Debian 9 Stretch
, ce problème a été corrigé dans
+la version 4.0.0-4+deb9u2.
Nous vous recommandons de mettre à jour vos paquets pillow.
+ +Pour disposer d'un état détaillé sur la sécurité de pillow, veuillez +consulter sa page de suivi de sécurité à l'adresse : +https://security-tracker.debian.org/tracker/pillow
+ +Plus d’informations à propos des annonces de sécurité de Debian LTS, comment +appliquer ces mises à jour dans votre système et les questions fréquemment posées +peuvent être trouvées sur : https://wiki.debian.org/LTS.
+Les CVE suivants ont été signalés à l’encontre de src:wpa.
+ +hostapd avant la version 2.6, dans le mode EAP, appelait les fonctions +rand() et random() de la bibliothèque standard sans appel préalable à +srand() ou srandom(), ce qui aboutissait à une utilisation inappropriée de +valeurs déterministes. Cela a été corrigé en conjonction avec +CVE-2016-10743.
La spécification UPnP d’Open Connectivity Foundation avant la +version 2020-04-17 n’interdisait pas l’acceptation d’une requête +d’abonnement avec une URL d’expédition sur une partie de réseau différente +de l’URL complètement qualifiée de souscription d’évènements, c'est-à-dire +le problème « CallStranger ».
Pour Debian 9 Stretch
, ces problèmes ont été corrigés dans
+la version 2:2.4-1+deb9u7.
Nous vous recommandons de mettre à jour vos paquets wpa.
+ +Pour disposer d'un état détaillé sur la sécurité de wpa, veuillez +consulter sa page de suivi de sécurité à l'adresse : +https://security-tracker.debian.org/tracker/wpa
+ +Plus d’informations à propos des annonces de sécurité de Debian LTS, comment +appliquer ces mises à jour dans votre système et les questions fréquemment posées +peuvent être trouvées sur : https://wiki.debian.org/LTS.
+Tobias Stoeckmann a découvert un dépassement d'entier dans la -bibliothèque JSON de json-c, qui pourrait avoir pour conséquence un déni de +bibliothèque json-c pour JSON, qui pourrait avoir pour conséquence un déni de service ou éventuellement l'exécution de code arbitraire lors du traitement de gros fichiers JSON mal formés.
diff --git a/french/security/2020/dsa-4742.wml b/french/security/2020/dsa-4742.wml index 34b6b33e366..2c8311aa8f2 100644 --- a/french/security/2020/dsa-4742.wml +++ b/french/security/2020/dsa-4742.wml @@ -19,7 +19,7 @@ dans un fichier spécifié.firejail lors de la redirection d'une sortie au moyen de --output ou de --output-stderr, concaténait tous les paramètres de la ligne de commande en une chaîne unique passée à l'interpréteur de commande. Un attaquant doté du -contrôle sur les paramètres de l'application mise dans le bac à sable +contrôle sur les paramètres de la ligne de commande de l'application mise dans le bac à sable pourrait tirer avantage de ce défaut pour exécuter d'autres commandes arbitraires.
-- cgit v1.2.3