Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il était possible de contourner la validation isComplete de la négociation SASL dans libthrift-java, une prise en charge du langage Java pour le cadriciel Thrift dâApache. Une assertion utilisée pour déterminer si une initialisation de connexion SASL sâest terminée avec succès pourrait être désactivée dans les réglages de production, rendant la validation inachevée.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 0.9.1-2+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libthrift-java.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1662.data" # $Id: $
#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cette DLA corrige un problème dans lâanalyse de certificats x509, un dépassement d'entier de pickle et quelques problèmes mineurs :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0772";>CVE-2016-0772</a> <p>La bibliothèque smtplib dans CPython ne renvoie pas une erreur quand StartTLS échoue. Cela pourrait permettre à des attaquants de type « homme du milieu » de contourner les protections TLS en exploitant une position de réseau entre le client et le registre pour bloquer la commande StartTLS, autrement dit, une « StartTLS stripping attack ».</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5636";>CVE-2016-5636</a> <p>Un dépassement dâentier dans la fonction get_data de zipimport.c dans CPython permet à des attaquants distants dâavoir un impact non précisé à l'aide d'une taille de données négative, déclenchant un dépassement de tas.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5699";>CVE-2016-5699</a> <p>Une vulnérabilité dâinjection CRLF dans la fonction HTTPConnection.putheader dâurllib2 et urllib dans CPython permet à des attaquants distants dâinjecter des en-têtes arbitraires HTTP à lâaide de séquences CRLF dans un URL.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20406";>CVE-2018-20406</a> <p>Modules/_pickle.c possède un dépassement d'entier à l'aide d'un grande valeur LONG_BINPUT mal gérée lors dâun essai <q>resize to twice the size</q>. Ce problème peut causer un épuisement de mémoire, mais nâest existant que si le format de pickle est utilisé pour sérialiser des dizaines ou des centaines de gigaoctets de données.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-5010";>CVE-2019-5010</a> <p>Un déréférencement de pointeur NULL en utilisant un certificat X509 contrefait pour l'occasion X509.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.4.2-1+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets python3.4.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1663.data" # $Id: $
#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p> Une vulnérabilité de déni de service existait et même éventuellement la possibilité de conduire des attaques de récupération de clefs privées dans le traitement de chiffrement par courbes elliptiques dans les bibliothèques du langage de programmation Go.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 2:1.3.3-1+deb8u1 de golang.</p> <p>Nous vous recommandons de mettre à jour vos paquets golang.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1664.data" # $Id: $
#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un dépassement de tampon a été découvert dans netmask qui pourrait planter lorsque appelé avec des entrées arbitraires longues.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 2.3.12+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets netmask.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1665.data" # $Id: $
#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Pour la version FreeRDP dans Debian Jessie LTS, une mise à jour de sécurité et de fonctionnalité a été récemment fournie. FreeRDP est une réimplémentation du protocole RDP de Microsoft (server et client) avec freerdp-x11 comme client RDP le plus courant de nos jours.</p> <p>Améliorations fonctionnelles :</p> <p>Avec lâaide de lâamont de FreeRDP (grand merci à Bernhard Miklautz et Martin Fleisz) nous sommes heureux dâannoncer que les prises en charge du protocole version 6 de RDP et de CredSSP version 3 ont été rétroportées dans la vieille branche FreeRDP 1.1.</p> <p>Depuis le deuxième trimestre de 2018, les serveurs et clients de Microsoft Windows reçoivent une mise à jour par défaut pour leur serveur RDP vers le protocole version 6. Depuis cette modification, il nâétait plus possible de se connecter à des machines MS Windows mises à jour récemment en utilisant la vielle branche FreeRDP 1.1 comme trouvée dans Debian Jessie LTS et Debian Stretch.</p> <p>Avec le dernier téléversement de FreeRDP vers Debian Jessie LTS, se connecter à des machines MS Windows mises à jour est de nouveau possible.</p> <p>Problèmes de sécurité :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8786";>CVE-2018-8786</a> <p>FreeRDP contient une troncature dâentier conduisant à un dépassement de tampon basé sur le tas dans la fonction update_read_bitmap_update() et aboutissant à une corruption de mémoire et probablement même à une exécution de code à distance.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8787";>CVE-2018-8787</a> <p>FreeRDP contient un dépassement d'entier conduisant à dépassement de tampon basé sur le tas dans la fonction gdi_Bitmap_Decompress() et aboutissant à une corruption de mémoire et probablement même à une exécution de code à distance. </p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8788";>CVE-2018-8788</a> <p>FreeRDP contient une écriture hors limites de un à quatre octets dans la fonction nsc_rle_decode() aboutissant à une corruption de mémoire et éventuellement dans une exécution de code à distance.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8789";>CVE-2018-8789</a> <p>FreeRDP contient plusieurs lectures hors limites dans le module dâauthentification NTLM aboutissant à un déni de service (segfault).</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes de sécurité ont été corrigés dans la version 1.1.0~git20140921.1.440916e+dfsg1-13~deb8u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets freerdp.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 1.1.0~git20140921.1.440916e+dfsg1-13~deb8u3 de freerdp.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1666.data" # $Id: $
