LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2139-1 dojo

Bulletin d'alerte Debian

DLA-2139-1 dojo -- Mise à jour de sécurité pour LTS

Date du rapport :

12 mars 2020

Paquets concernés :

dojo

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 953585, Bogue 953587.
Dans le dictionnaire CVE du Mitre : CVE-2020-5258, CVE-2020-5259.

Plus de précisions :

Les CVE suivants ont été signalés à propos de dojo.

• CVE-2020-5258

  Dans les versions affectées de dojo, la méthode deepCopy est vulnérable à une contamination de prototype. Un attaquant pourrait manipuler ces attributs pour remplacer, ou contaminer, un prototype d’objet d’application en JavaScript de l’objet de base en injectant d’autres valeurs.

• CVE-2020-5259

  La méthode mixin jqMix de l’enveloppe jQuery Dojox est vulnérable à une contamination de prototype. Un attaquant pourrait manipuler ces attributs pour remplacer, ou contaminer, un prototype d’objet d’application en JavaScript de l’objet de base en injectant d’autres valeurs.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.10.2+dfsg-1+deb8u3.

Nous vous recommandons de mettre à jour vos paquets dojo.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.