Commit 4a396ccc authored by Sebul's avatar Sebul

Merge branch 'master' of salsa.debian.org:webmaster-team/webwml

parents d83ca48b c18c8da0
#use wml::debian::translation-check translation="e9bfb0887abebb9e360bcb75b0329ab14d8d01e8" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Max Kellermann rapporterede om en NULL-pointerdereferencefejl i libapreq2, et
generisk Apache-forespørgselsbibliotek, som gjorde det muligt for en
fjernangriber at forårsage et lammelsesangreb mod en applikation, der anvender
biblioteket (applikationsnedbrud), hvis der blev behandlet en ugyldig
<q>multipart</q>-body, som optræder flere gange.</p>
<p>I den gamle stabile distribution (stretch), er dette problem rettet
i version 2.13-7~deb9u1.</p>
<p>I den stabile distribution (buster), er dette problem rettet i
version 2.13-7~deb10u1.</p>
<p>Vi anbefaler at du opgraderer dine libapreq2-pakker.</p>
<p>For detaljeret sikkerhedsstatus vedrørende libapreq2, se
dens sikkerhedssporingsside på:
<a href="https://security-tracker.debian.org/tracker/libapreq2">\
https://security-tracker.debian.org/tracker/libapreq2</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4541.data"
#use wml::debian::translation-check translation="6f7800b4562d66c25875afecfd9f8039b52eaf60" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Man opdagede at jackson-databind, et Java-bibliotek der anvendes til at
fortolke JSON og andre dataformater, ikke på korrekt vis validerde brugerindata
før det forsøgte deserialisering. Dermed kunne en angreb, der leverer ondsindet
fabrikeret inddata, udføre kode eller læse vilkårlige filer på serveren.</p>
<p>I den gamle stabile distribution (stretch), er disse problemer rettet
i version 2.8.6-1+deb9u6.</p>
<p>I den stabile distribution (buster), er disse problemer rettet i
version 2.9.8-3+deb10u1.</p>
<p>Vi anbefaler at du opgraderer dine jackson-databind-pakker.</p>
<p>For detaljeret sikkerhedsstatus vedrørende jackson-databind, se
dens sikkerhedssporingsside på:
<a href="https://security-tracker.debian.org/tracker/jackson-databind">\
https://security-tracker.debian.org/tracker/jackson-databind</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4542.data"
<define-tag pagetitle>DLA-1911-1 exim4</define-tag>
<define-tag report_date>2019-9-6</define-tag>
<define-tag secrefs>CVE-2019-15846</define-tag>
<define-tag packages>exim4</define-tag>
<define-tag isvulnerable>yes</define-tag>
<define-tag fixed>yes</define-tag>
<define-tag fixed-section>no</define-tag>
#use wml::debian::security
<define-tag description>LTS security update</define-tag>
<define-tag moreinfo>
<p><q>Zerons</q> and Qualys discovered that a buffer overflow triggerable in the
TLS negotiation code of the Exim mail transport agent could result in the
execution of arbitrary code with root privileges.</p>
<p>For Debian 8 <q>Jessie</q>, this problem has been fixed in version
4.84.2-2+deb8u6.</p>
<p>We recommend that you upgrade your exim4 packages.</p>
<p>Further information about Debian LTS security advisories, how to apply
these updates to your system and frequently asked questions can be
found at: <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1911.data"
# $Id: $
<define-tag pagetitle>DLA-1934-1 cimg</define-tag>
<define-tag report_date>2019-9-28</define-tag>
<define-tag secrefs>CVE-2018-7588 CVE-2018-7589 CVE-2018-7637 CVE-2018-7638 CVE-2018-7639 CVE-2018-7640 CVE-2018-7641 CVE-2019-1010174</define-tag>
<define-tag packages>cimg</define-tag>
<define-tag isvulnerable>yes</define-tag>
<define-tag fixed>yes</define-tag>
<define-tag fixed-section>no</define-tag>
#use wml::debian::security
<define-tag description>LTS security update</define-tag>
<define-tag moreinfo>
<p>Several issues have been found in cimg, a powerful image processing
library.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-1010174">CVE-2019-1010174</a>
<p>is related to a missing string sanitization on URLs,
which might result in a command injection when loading a special crafted
image.</p>
<p>The other CVEs are about heap-based buffer over-reads or double frees when
loading an image.</p>
<p>For Debian 8 <q>Jessie</q>, these problems have been fixed in version
1.5.9+dfsg-1+deb8u1.</p>
<p>We recommend that you upgrade your cimg packages.</p>
<p>Further information about Debian LTS security advisories, how to apply
these updates to your system and frequently asked questions can be
found at: <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a></p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1934.data"
# $Id: $
<define-tag pagetitle>DLA-1935-1 e2fsprogs</define-tag>
<define-tag report_date>2019-9-28</define-tag>
<define-tag secrefs>CVE-2019-5094</define-tag>
<define-tag packages>e2fsprogs</define-tag>
<define-tag isvulnerable>yes</define-tag>
<define-tag fixed>yes</define-tag>
<define-tag fixed-section>no</define-tag>
#use wml::debian::security
<define-tag description>LTS security update</define-tag>
<define-tag moreinfo>
<p>Lilith of Cisco Talos discovered a buffer overflow flaw in the quota
code used by e2fsck from the ext2/ext3/ext4 file system utilities.
Running e2fsck on a malformed file system can result in the execution of
arbitrary code.</p>
<p>For Debian 8 <q>Jessie</q>, this problem has been fixed in version
1.42.12-2+deb8u1.</p>
<p>We recommend that you upgrade your e2fsprogs packages.</p>
<p>Further information about Debian LTS security advisories, how to apply
these updates to your system and frequently asked questions can be
found at: <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1935.data"
# $Id: $
<define-tag pagetitle>DLA-1936-1 cups</define-tag>
<define-tag report_date>2019-9-28</define-tag>
<define-tag secrefs>CVE-2018-4300</define-tag>
<define-tag packages>cups</define-tag>
<define-tag isvulnerable>yes</define-tag>
<define-tag fixed>yes</define-tag>
<define-tag fixed-section>no</define-tag>
#use wml::debian::security
<define-tag description>LTS security update</define-tag>
<define-tag moreinfo>
<p>An issue has been found in cups, the Common UNIX Printing System(tm).</p>
<p>While generating a session cookie for the CUPS web interface, a
predictable random number seed was used. This could lead to unauthorized
scripted access to the enabled web interface.</p>
<p>For Debian 8 <q>Jessie</q>,
this problem has been fixed in version 1.7.5-11+deb8u6.</p>
<p>We recommend that you upgrade your cups packages.</p>
<p>Further information about Debian LTS security advisories, how to apply
these updates to your system and frequently asked questions can be
found at: <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1936.data"
# $Id: $
<define-tag pagetitle>DLA-1939-1 poppler</define-tag>
<define-tag report_date>2019-9-30</define-tag>
<define-tag secrefs>CVE-2018-20650 CVE-2018-21009 CVE-2019-12493</define-tag>
<define-tag packages>poppler</define-tag>
<define-tag isvulnerable>yes</define-tag>
<define-tag fixed>yes</define-tag>
<define-tag fixed-section>no</define-tag>
#use wml::debian::security
<define-tag description>LTS security update</define-tag>
<define-tag moreinfo>
<p>Several issues in poppler, a PDF rendering library, have been fixed.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20650">CVE-2018-20650</a>
<p>A missing check for the dict data type could lead to a denial of
service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-21009">CVE-2018-21009</a>
<p>An integer overflow might happen in Parser::makeStream.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-12493">CVE-2019-12493</a>
<p>A stack-based buffer over-read by a crafted PDF file might happen in
PostScriptFunction::transform because some functions mishandle tint
transformation.</p>
<p>For Debian 8 <q>Jessie</q>, these problems have been fixed in version
0.26.5-2+deb8u11.</p>
<p>We recommend that you upgrade your poppler packages.</p>
<p>Further information about Debian LTS security advisories, how to apply
these updates to your system and frequently asked questions can be
found at: <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a></p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1939.data"
# $Id: $
<define-tag pagetitle>DLA-1942-1 phpbb3</define-tag>
<define-tag report_date>2019-10-01</define-tag>
<define-tag secrefs>CVE-2019-16993</define-tag>
<define-tag report_date>2019-10-06</define-tag>
<define-tag secrefs>CVE-2019-13776 CVE-2019-16993</define-tag>
<define-tag packages>phpbb3</define-tag>
<define-tag isvulnerable>yes</define-tag>
<define-tag fixed>yes</define-tag>
......
<define-tag description>LTS security update</define-tag>
<define-tag moreinfo>
<p>In phpBB, includes/acp/acp_bbcodes.php had improper verification of a
CSRF token on the BBCode page in the Administration Control Panel. An
actual CSRF attack was possible if an attacker also managed to retrieve
the session id of a reauthenticated administrator prior to targeting
them.</p>
<p>The description in this DLA does not match what has been documented in
the changelog.Debian.gz of this package version. After the upload of
phpbb3 3.0.12-5+deb8u4, it became evident that <a href="https://security-tracker.debian.org/tracker/CVE-2019-13776">CVE-2019-13776</a> has not yet
been fixed. The correct fix for <a href="https://security-tracker.debian.org/tracker/CVE-2019-13776">CVE-2019-13776</a> has been identified and
will be shipped in a soon-to-come follow-up security release of phpbb3.</p>
<define-tag moreinfo></p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-16993">CVE-2019-16993</a>
<p>In phpBB, includes/acp/acp_bbcodes.php had improper verification of a
CSRF token on the BBCode page in the Administration Control Panel. An
actual CSRF attack was possible if an attacker also managed to retrieve
the session id of a reauthenticated administrator prior to targeting
them.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-13776">CVE-2019-13776</a>
<p>phpBB allowed the stealing of an Administration Control Panel session id
by leveraging CSRF in the Remote Avatar feature. The CSRF Token Hijacking
lead to stored XSS.</p></li>
</ul>
<p>For Debian 8 <q>Jessie</q>, these problems have been fixed in version
3.0.12-5+deb8u4.</p>
......
<define-tag pagetitle>DLA-1947-1 libreoffice</define-tag>
<define-tag report_date>2019-10-06</define-tag>
<define-tag secrefs>CVE-2019-9848 CVE-2019-9849 CVE-2019-9850 CVE-2019-9851 CVE-2019-9852 CVE-2019-9853 CVE-2019-9854</define-tag>
<define-tag packages>libreoffice</define-tag>
<define-tag isvulnerable>yes</define-tag>
<define-tag fixed>yes</define-tag>
<define-tag fixed-section>no</define-tag>
#use wml::debian::security
<define-tag description>LTS security update</define-tag>
<define-tag moreinfo>
<p>Several vulnerabilities were discovered in LibreOffice, the office
productivity suite.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9848">CVE-2019-9848</a>
<p>Nils Emmerich discovered that malicious documents could execute
arbitrary Python code via LibreLogo.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9849">CVE-2019-9849</a>
<p>Matei Badanoiu discovered that the stealth mode did not apply to
bullet graphics.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9850">CVE-2019-9850</a>
<p>It was discovered that the protections implemented in <a href="https://security-tracker.debian.org/tracker/CVE-2019-9848">CVE-2019-9848</a>
could be bypassed because of insufficient URL validation.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9851">CVE-2019-9851</a>
<p>Gabriel Masei discovered that malicious documents could execute
arbitrary pre-installed scripts.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9852">CVE-2019-9852</a>
<p>Nils Emmerich discovered that the protection implemented to address
<a href="https://security-tracker.debian.org/tracker/CVE-2018-16858">CVE-2018-16858</a> could be bypassed by a URL encoding attack.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9853">CVE-2019-9853</a>
<p>Nils Emmerich discovered that malicious documents could bypass
document security settings to execute macros contained within the
document.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9854">CVE-2019-9854</a>
<p>It was discovered that the protection implemented to address
<a href="https://security-tracker.debian.org/tracker/CVE-2019-9852">CVE-2019-9852</a> could be bypassed because of insufficient input
sanitization.</p></li>
</ul>
<p>For Debian 8 <q>Jessie</q>, these problems have been fixed in version
1:4.3.3-2+deb8u13.</p>
<p>We recommend that you upgrade your libreoffice packages.</p>
<p>Further information about Debian LTS security advisories, how to apply
these updates to your system and frequently asked questions can be
found at: <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1947.data"
# $Id: $
<define-tag pagetitle>DLA-1948-1 ruby-mini-magick</define-tag>
<define-tag report_date>2019-10-07</define-tag>
<define-tag secrefs>CVE-2019-13574 Bug#931932</define-tag>
<define-tag packages>ruby-mini-magick</define-tag>
<define-tag isvulnerable>yes</define-tag>
<define-tag fixed>yes</define-tag>
<define-tag fixed-section>no</define-tag>
#use wml::debian::security
<define-tag description>LTS security update</define-tag>
<define-tag moreinfo>
<p>In lib/mini_magick/image.rb in ruby-mini-magick, a fetched remote
image filename could cause remote command execution because Image.open input
is directly passed to Kernel#open, which accepts a '|' character followed by
a command.</p>
<p>For Debian 8 <q>Jessie</q>, this problem has been fixed in version
3.8.1-1+deb8u1.</p>
<p>We recommend that you upgrade your ruby-mini-magick packages.</p>
<p>Further information about Debian LTS security advisories, how to apply
these updates to your system and frequently asked questions can be
found at: <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1948.data"
# $Id: $
<define-tag pagetitle>DSA-4542-1 jackson-databind</define-tag>
<define-tag report_date>2019-10-06</define-tag>
<define-tag secrefs>CVE-2019-12384 CVE-2019-14439 CVE-2019-14540 CVE-2019-16335 CVE-2019-16942 CVE-2019-16943 Bug#941530 Bug#940498 Bug#933393 Bug#930750</define-tag>
<define-tag packages>jackson-databind</define-tag>
<define-tag isvulnerable>yes</define-tag>
<define-tag fixed>yes</define-tag>
<define-tag fixed-section>no</define-tag>
#use wml::debian::security
</dl>
<define-tag description>security update</define-tag>
<define-tag moreinfo>
<p>It was discovered that jackson-databind, a Java library used to parse
JSON and other data formats, did not properly validate user input
before attempting deserialization. This allowed an attacker providing
maliciously crafted input to perform code execution, or read arbitrary
files on the server.</p>
<p>For the oldstable distribution (stretch), these problems have been fixed
in version 2.8.6-1+deb9u6.</p>
<p>For the stable distribution (buster), these problems have been fixed in
version 2.9.8-3+deb10u1.</p>
<p>We recommend that you upgrade your jackson-databind packages.</p>
<p>For the detailed security status of jackson-databind please refer to
its security tracker page at:
<a href="https://security-tracker.debian.org/tracker/jackson-databind">\
https://security-tracker.debian.org/tracker/jackson-databind</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4542.data"
# $Id: $
#use wml::debian::translation-check translation="0c8bd7bab62d60ae1f272349471dd60f80845258" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p><q>Zerons</q> et Qualys ont découvert qu’un dépassement de tampon
déclenchable dans le code de négociation TLS de l’agent de transport de courriel
Exim pourrait aboutir à l'exécution de code arbitraire avec droits du
superutilisateur.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 4.84.2-2+deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets exim4.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1911.data"
# $Id: $
#use wml::debian::translation-check translation="cee659544fcdf47bdc2e4d8684d82adad828006a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans cimg, une bibliothèque de
traitement d’image.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-1010174">CVE-2019-1010174</a>
<p>Chaîne de vérification manquante pour des URL, pouvant aboutir à une
injection de commande lors du chargement d’une image contrefaite.</p>
<p>Les autres CVE concernent des lectures hors limites de tampon basé sur le tas
ou des doubles libérations de zone de mémoire lors du chargement d’image.</p>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.5.9+dfsg-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets cimg.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1934.data"
# $Id: $
#use wml::debian::translation-check translation="4d72ff5b16b3e85ec9390b3c2c0820110d2d4929" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Lilith de Cisco Talos a découvert un défaut de dépassement de tampon dans le
code de quota utilisé par e2fsck à partir des utilitaires des systèmes de
fichiers ext2, ext3 ou ext4. Exécuter e2fsck sur un système de fichiers mal
formé peut avoir pour conséquence l'exécution de code arbitraire.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.42.12-2+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets e2fsprogs.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1935.data"
# $Id: $
#use wml::debian::translation-check translation="88d4c0a0dbe6d0a5542125488a67c3426f106898" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un problème a été découvert dans cups™, le système commun d'impression pour
UNIX.</p>
<p>Lors de la création d’un cookie de session pour l’interface web de CUPS, une
graine prédictible de nombre aléatoire était utilisée. Cela pourrait conduire à
à un accès planifié non autorisé à l’interface web active.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.7.5-11+deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets cups.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1936.data"
# $Id: $
#use wml::debian::translation-check translation="f5bcaef3918a8a11731afc5ad0381934bf35d171" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes dans poppler, une bibliothèque de rendu de PDF, ont été
corrigés.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20650">CVE-2018-20650</a>
<p>Une vérification manquante de type de données dict pourrait conduire à
un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-21009">CVE-2018-21009</a>
<p>Une dépassement d'entier peut se produire dans Parser::makeStream.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-12493">CVE-2019-12493</a>
<p>Une lecture hors limites de tampon basé sur la pile par un fichier PDF
contrefait peut se produire dans PostScriptFunction::transform car quelques
fonctions gèrent incorrectement la transformation tint.</p>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 0.26.5-2+deb8u11.</p>
<p>Nous vous recommandons de mettre à jour vos paquets poppler.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1939.data"
# $Id: $
#use wml::debian::translation-check translation="83aadfef750a1e1c9b49aeba6ccb1ac4b5a46a04" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte par Lukas Kupczyk de Advanced Research
Team à CrowdStrike Intelligence dans OpenConnect, un client libre pour les VPN
Cisco AnyConnect, Pulse, GlobalProtect. Un serveur HTTP malveillant (après que
son certificat d’identification ait été accepté) peut fournir des longueurs
de bloc boguées pour l’encodage HTTP en bloc et causer un dépassement de tas.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 6.00-2+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openconnect.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1945.data"
# $Id: $
#use wml::debian::translation-check translation="569ce07854c12aa31911daed92bd109d5c348e67" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de script intersite (XSS) a été découverte dans noVNC dans
lequel le serveur VNC distant pourrait injecter du HTML arbitraire dans la page
web noVNC à l’aide de messages propagés dans le champ d’état, tel que le nom de
serveur VNC.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1:0.4+dfsg+1+20131010+gitf68af8af3d-4+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets novnc.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1946.data"
# $Id: $
#use wml::debian::translation-check translation="38ba14679e7eab814a17ca371d4279374f9e17a2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans LibreOffice, la suite
bureautique.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9848">CVE-2019-9848</a>
<p>Nils Emmerich a découvert que des documents malveillants pourraient exécuter
du code Python arbitraire grâce à LibreLogo.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9849">CVE-2019-9849</a>
<p>Matei Badanoiu a découvert que le mode prudent ne s'appliquait pas aux puces
graphiques.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9850">CVE-2019-9850</a>
<p>Les protections mises en œuvre dans
<a href="https://security-tracker.debian.org/tracker/CVE-2019-9848">CVE-2019-9848</a>
pourraient être contournées à cause d’une validation insuffisante d’URL.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9851">CVE-2019-9851</a>
<p>Gabriel Masei a découvert que des documents malveillants pourraient exécuter
des scripts arbitraires préinstallés.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9852">CVE-2019-9852</a>
<p>Nils Emmerich a découvert que la protection mise en œuvre pour corriger
<a href="https://security-tracker.debian.org/tracker/CVE-2018-16858">CVE-2018-16858</a>
pourrait être contournée par une attaque d’encodage d’URL.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9853">CVE-2019-9853</a>
<p>Nils Emmerich a découvert que des document malveillants pourraient contourner
des réglages de sécurité de document pour exécuter des macros contenues dans le
document.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9854">CVE-2019-9854</a>
<p>La mise en œuvre pour corriger
<a href="https://security-tracker.debian.org/tracker/CVE-2019-9852">CVE-2019-9852</a>
pourrait être contournée à cause d’une vérification manquante d'entrée.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1:4.3.3-2+deb8u13.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libreoffice.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1947.data"
# $Id: $
#use wml::debian::translation-check translation="6f7800b4562d66c25875afecfd9f8039b52eaf60" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>jackson-databind, une bibliothèque Java utilisée pour analyser des
données au format JSON et à d'autres formats, ne validait pas correctement
les entrées de l'utilisateur avant de tenter la désérialisation. Cela
permettait à un attaquant de fournir des entrées malveillante pour réaliser
l'exécution de code ou lire des fichiers arbitraires sur le serveur.</p>
<p>Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés
dans la version 2.8.6-1+deb9u6.</p>
<p>Pour la distribution stable (Buster), ces problèmes ont été corrigés
dans la version 2.9.8-3+deb10u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets jackson-databind.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de jackson-databind,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/jackson-databind">\
https://security-tracker.debian.org/tracker/jackson-databind</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4542.data"
# $Id: $
#use wml::debian::translation-check translation="6f7800b4562d66c25875afecfd9f8039b52eaf60" mindelta="1" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>Было обнаружено, что jackson-databind, Java-библиотека для грамматического
разбора JSON и других форматов данных, неправильно выполняет проверку пользовательских
данных перед попыткой их десериализации. Это позволяет злоумышленнику, предоставляющему
специально сформированные входные данные, выполнять выполнение кода или считывать
произвольные файлы на сервере.</p>
<p>В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены
в версии 2.8.6-1+deb9u6.</p>
<p>В стабильном выпуске (buster) эти проблемы были исправлены в
версии 2.9.8-3+deb10u1.</p>
<p>Рекомендуется обновить пакеты jackson-databind.</p>
<p>С подробным статусом поддержки безопасности jackson-databind можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
<a href="https://security-tracker.debian.org/tracker/jackson-databind">\