This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --80JO30EIwlztusaOQmJgKYuO9z53KCW19
Content-Type: multipart/mixed;
boundary="------------39FE2D762CF21A9462F6E503"
Content-Language: fr
This is a multi-part message in MIME format. --------------39FE2D762CF21A9462F6E503
Content-Type: text/plain; charset=windows-1252; format=flowed Content-Transfer-Encoding: quoted-printable
Bonjour,
Le 12/11/2021 ŕ 09:02,
bubub@no-log.org a écrit :
Bonjour,
un détail
amicalement
bubu
C'est corrigé. De nouvelles relectures ?
Amicalement,
jipege
--------------39FE2D762CF21A9462F6E503
Content-Type: text/vnd.wap.wml; charset=UTF-8;
name="dsa-5004.wml"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: attachment;
filename="dsa-5004.wml"
#use wml::debian::translation-check translation="9021424ee668597a5b8130c5d1bb387ddc66dac3" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans XStream,
une bibliothèque Java pour sérialiser des objets en XML et les désérialiser.</p>
<p>Ces vulnérabilités peuvent permettre à un attaquant distant de charger
et exécuter du code arbitraire à partir d'un hôte distant simplement en manipulant le flux d’entrée traité.</p>
<p>XStream définit lui-même désormais une liste d'autorisations par défaut, c'est-à -dire que toutes les classes sont bloquées sauf les types pour lesquels des convertisseurs sont explicitement déclarés. Habituellement, une liste d'interdictions existait par défaut, c'est-à -dire qu'il essayait de bloquer toutes les classes critiques actuellement connues de
l'environnement d'exécution de Java. La raison principal de la liste d'interdictions était la compatibilité qui permettait d'utiliser les nouvelles versions d'XStream comme substitution. Toutefois, cette approche
a échoué. Une liste croissante de rapports de sécurité a démontré qu'une liste d'interdictions est intrinsèquement non sûre, sans tenir compte du
fait que les types des bibliothèques tierces n'étaient même pas envisagés. Un scénario de liste d'interdictions devrait être évité en général, car il
procure un sentiment de sécurité trompeur.</p>
<p>Pour la distribution oldstable (Buster), ces problèmes ont été corrigés dans la version 1.4.11.1-1+deb10u3.</p>
<p>Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1.4.15-3+deb11u1.</p>
<p>Nous vous recommandons de mettre Ă jour vos paquets libxstream-java.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de libxstream-java, veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="
https://security-tracker.debian.org/tracker/libxstream-java">\ https://security-tracker.debian.org/tracker/libxstream-java</a>.</p> </define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2021/dsa-5004.data"
# $Id: $
--------------39FE2D762CF21A9462F6E503--
--80JO30EIwlztusaOQmJgKYuO9z53KCW19--
-----BEGIN PGP SIGNATURE-----
wsF5BAABCAAjFiEEcH/R3vmpi4JWBoDfeBP2a44wMXIFAmGOIjkFAwAAAAAACgkQeBP2a44wMXIh MQ/+OEIh6l8EP+1ktToCOVXa5xpzFy4sM1rXzafNW/5F5akkcrg+W9UWgXCAqlUCgW/MAK3E443U KnP3CyBKoBYmoJERDRm9Mf+OtmmZDVIEWL1tuaqNoYD39YxwLylQHLenuphUL/YD22muLviFBa+V MA2QRncdj/ckXq56B0j8FDpQjK7jsrrn/mLEgd+L2jsGS+5D9foi/1WXq2GJlqqk2F2KLa+alLBf CoM7t4MT887+RP8sgJJbV50odQXBWWUz0Fm91MbwsT3FvTaWlDsX6qu44/JfRNiynWCloWK8KFJX Pm6Oo51lsslq1b+IeXkFJ4PuAi1FuzDkMhHQij7Ab2h43Zkl+4spP8253haf55teLfH03mvgygw+ H/W4+dsvn3daD2TPI79Vw2kohfqkz2pB75m0jqArGrYXkgYxW2yAvmUVlvqHo6Z7b1QVLDwalUH2 wUOK4OMwsz4Eiu5BL4fsbc2qMc/5OxU5jhLfxq88wpN8loOa4qqi45tyo5I/T54xBO+H0BPkg3H4 BfMTIHnsLMNKZ04BhVHJxnN/C5oXkDIZHmSDs42UYV4Gx5CFC1XuPsKpk4vAyZNYzOO4c3DziNme uRCVd+ZMExh4w1Pq2NHx0O59o+/aycJp4YKW73dkCkZAPyDjDrtv35y0jjJC+zemzgmWei5Gi2QC d1Q=
=vXuB
-----END PGP SIGNATURE-----
--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)