diff options
| author | jptha-guest <guillonneau.jeanpaul@free.fr> | 2019-12-24 11:44:35 +0100 |
|---|---|---|
| committer | jptha-guest <guillonneau.jeanpaul@free.fr> | 2019-12-24 11:44:35 +0100 |
| commit | 7a6d47125769558b7268b7e8e61f811b4f4fad6c (patch) | |
| tree | ccec32110e3a4f16f3044022506d74ee7c22297b | |
| parent | 89c3a58fe0315a631174e46c9da0c74f38c2eaf8 (diff) | |
Initial transaltion
| -rw-r--r-- | french/lts/security/2019/dla-1942-2.wml | 44 | ||||
| -rw-r--r-- | french/lts/security/2019/dla-2038-2.wml | 21 | ||||
| -rw-r--r-- | french/lts/security/2019/dla-2042.wml | 60 |
3 files changed, 125 insertions, 0 deletions
diff --git a/french/lts/security/2019/dla-1942-2.wml b/french/lts/security/2019/dla-1942-2.wml new file mode 100644 index 00000000000..a19e57440a6 --- /dev/null +++ b/french/lts/security/2019/dla-1942-2.wml @@ -0,0 +1,44 @@ +#use wml::debian::translation-check translation="5de6f08afb5b48247951a38f158e8bcd87190465" maintainer="Jean-Paul Guillonneau" +<define-tag description>Mise à jour de sécurité pour LTS</define-tag> +<define-tag moreinfo> +<p>Il s’agit d’une suite de la DLA-1942-1.</p> + +<p>Il existait une certaine confusion à propos du correctif correct pour + <a href="https://security-tracker.debian.org/tracker/CVE-2019-13776">CVE-2019-13776</a>.</p> + +<p>L’annonce correcte pour cette DLA aurait due être :</p> + +<p>Package : phpbb3 +Version : 3.0.12-5+deb8u4 +CVE ID: <a href="https://security-tracker.debian.org/tracker/CVE-2019-13776">CVE-2019-13776</a> <a href="https://security-tracker.debian.org/tracker/CVE-2019-16993">CVE-2019-16993</a></p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-16993">CVE-2019-16993</a> + +<p>Dans phpBB, includes/acp/acp_bbcodes.php vérifiait de manière incorrecte +le jeton CSRF dans la page des BBCode dans Administration Control Panel. Une attaque +CSRF réelle était possible si un attaquant réussissait à récupérer l’identifiant +de session d’un administrateur réauthentifié avant de les cibler.</p></li> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-13776">CVE-2019-13776</a> + +<p>phpBB permettait le vol de l’identifiant de session du Administration Control +Panel en exploitant un CSRF dans la fonction Remote Avatar. Le vol du jeton CSRF +aboutit à un XSS stocké.</p></li> + +</ul> + +<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans +la version 3.0.12-5+deb8u4.</p> + +<p>Nous vous recommandons de mettre à jour vos paquets phpbb3.</p> + +<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment +appliquer ces mises à jour dans votre système et les questions fréquemment posées +peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> +</define-tag> + +# do not modify lea following line +#include "$(ENGLISHDIR)/lts/security/2019/dla-1942-2.data" +# $Id: $ diff --git a/french/lts/security/2019/dla-2038-2.wml b/french/lts/security/2019/dla-2038-2.wml new file mode 100644 index 00000000000..07a6b2db16e --- /dev/null +++ b/french/lts/security/2019/dla-2038-2.wml @@ -0,0 +1,21 @@ +#use wml::debian::translation-check translation="4113e110e900b7240a77f2133bacadc4b353b0dc" maintainer="Jean-Paul Guillonneau" +<define-tag description>Mise à jour de sécurité pour LTS</define-tag> +<define-tag moreinfo> +<p>Une modification introduite dans libssh 0.6.3-4+deb8u4 (publiée dans la +DLA 2038-1) a cassé la façon dont x2goclient écrit les fichiers de configuration +de session du client vers le serveur, aboutissant à un message d’erreur dans la +boite de dialogue d’erreur durant le démarrage de session (et sa reprise).</p> + +<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la +version 4.0.3.1-4+deb8u1 de x2goclient.</p> + +<p>Nous vous recommandons de mettre à jour vos paquets x2goclient.</p> + +<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment +appliquer ces mises à jour dans votre système et les questions fréquemment posées +peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> +</define-tag> + +# do not modify lea following line +#include "$(ENGLISHDIR)/lts/security/2019/dla-2038-2.data" +# $Id: $ diff --git a/french/lts/security/2019/dla-2042.wml b/french/lts/security/2019/dla-2042.wml new file mode 100644 index 00000000000..c5cf1cf1753 --- /dev/null +++ b/french/lts/security/2019/dla-2042.wml @@ -0,0 +1,60 @@ +#use wml::debian::translation-check translation="4f7be4cf52368cbd0d55b2d71031a634d996e6c7" maintainer="Jean-Paul Guillonneau" +<define-tag description>Mise à jour de sécurité pour LTS</define-tag> +<define-tag moreinfo> + +<p>Il existait une vulnérabilité potentielle de détournement de compte dans +Django, le cadriciel de développement web basé sur Python.</p> + +<p>Le formulaire de réinitialisation de mot de passe de Django utilisait une +requête non sensible à la casse pour récupérer les comptes correspondant à +l’adresse de courriel sollicitant la réinitialisation du mot de passe. Dû à ce +que cela implique des transformations implicites ou explicites de casse, un +attaquant connaissant l’adresse de courriel associée avec le compte de +l’utilisateur pourrait façonner une adresse de courriel distincte de l’adresse +associée avec ce compte, mais qui, à cause du comportement des transformations +de casse d’Unicode, cesse d’être distincte après une transformation de casse, ou +qui sinon comparera l’équivalent fourni dans la base de données de +transformation de casse ou le comportement de la comparaison. Dans une telle +situation, l’attaquant peut recevoir un jeton valable de réinitialisation de +mot de passe pour le compte de l’utilisateur.</p> + +<p>Pour résoudre cela, deux modifications ont été faites dans Django :</p> + +<ul> +<li>Après la récupération d’une liste de comptes correspondant éventuellement +de la base de données, la fonction de réinitialisation du mot de passe de Django +vérifie désormais l’adresse de courriel pour une équivalence en Python, en +utilisant le processus recommandé de comparaison d’identifiants d’« Unicode +Technical Report 36, section 2.11.2(B)(2) ».</li> + +<li>Lors de la génération des courriels de réinitialisation de mot de passe, +Django désormais envoie à l’adresse de courriel retrouvée dans la base de +données plutôt qu’à l’adresse soumise dans le formulaire de réinitialisation de +mot de passe.</li> +</ul> + +<p>Pour plus d’informations, veuillez consulter : +<a href="https://www.djangoproject.com/weblog/2019/dec/18/security-releases/">https://www.djangoproject.com/weblog/2019/dec/18/security-releases/</a>.</p> + +<ul> + +<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-19844">CVE-2019-19844</a> + +<p>Détournement potentiel de compte à l’aide d’un formulaire de réinitialiastion +de mot de passe.</p></li> + +</ul> + +<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans +la version 1.7.11-1+deb8u8.</p> + +<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p> + +<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment +appliquer ces mises à jour dans votre système et les questions fréquemment posées +peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> +</define-tag> + +# do not modify lea following line +#include "$(ENGLISHDIR)/lts/security/2019/dla-2042.data" +# $Id: $ |