[RFR] wml://lts/security/2019/dla16{67,68,69,70,71}.wml

[JP Guillonneau]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p> Une vulnérabilité existait dans le serveur IMAP/POP3 dovecot.</p>

<p>Un défaut dans le traitement du nom d’utilisateur TLS pourrait
conduire un attaquant à se connecter comme n’importe qui dans le système si à
la fois auth_ssl_{require_client,username_from}_cert étaient activés.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la
version 1:2.2.13-12~deb8u5 de dovecot.</p>

<p>Nous vous recommandons de mettre à jour vos paquets dovecot.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1667.data"
# $Id: $

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Fuzzing a trouvé deux problèmes supplémentaires spécifiques au format de
fichier dans libarchive, une erreur de segmentation en lecture seule dans 7z et
une boucle infinie dans ISO9660.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-1000019";>CVE-2019-1000019</a>

<p>Vulnérabilité de lecture hors limites dans la décompression 7zip, pouvant
provoquer un plantage (déni de service, CWE-125).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-1000020";>CVE-2019-1000020</a>

<p>Vulnérabilité dans l’analyseur ISO9660 pouvant provoquer un déni de service
par boucle infinie (CWE-835).</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.1.2-11+deb8u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libarchive.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1668.data"
# $Id: $

#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Alex Infuehr a découvert une vulnérabilité de traversée de répertoires qui
pourrait permettre l’exécution du code d’un script en Python lors de l’ouverture
d’un document malformé.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1:4.3.3-2+deb8u12.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libreoffice.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1669.data"
# $Id: $

#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tavis Ormandy a découvert une vulnérabilité dans Ghostscript, l’interpréteur
GPL pour PostScript/PDF. Cela pourrait permettre un déni de service ou
l'exécution de code arbitraire si un fichier Postscript mal formé est traité
(malgré l’activation -dSAFER du bac à sable).</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 9.26a~dfsg-0+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ghostscript.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1670.data"
# $Id: $

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans coTURN, un serveur TURN et
STUN pour VoIP.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4056";>CVE-2018-4056</a>

<p>Une vulnérabilité d’injection SQL a été découverte dans le portail web de
l’administrateur de coTURN. Comme l’interface web d’administration est partagée
avec la production, il n’est malheureusement pas possible de filtrer aisément
les accès extérieurs et cette mise à jour de sécurité désactive complètement
l’interface web. Les utilisateurs devraient utiliser à la place l’interface en
ligne de commande.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4058";>CVE-2018-4058</a>

<p>La configuration par défaut autorise la retransmission non sécurisée sur
boucle locale. Un attaquant distant ayant accès à l’interface TURN peut utiliser
cette vulnérabilité pour obtenir l’accès à des services qui ne devraient être
que locaux.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4059";>CVE-2018-4059</a>

<p>La configuration par défaut utilise un mot de passe vide pour l’interface
d’administration locale en ligne de commande. Un attaquant avec accès à la
console locale (soit un attaquant local ou un attaquant distant tirant parti de
<a href="https://security-tracker.debian.org/tracker/CVE-2018-4058";>CVE-2018-4058</a>)
pourrait augmenter ses privilèges à ceux de l’administrateur de serveur coTURN.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4.2.1.2-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets coturn.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1671.data"
# $Id: $