Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="37e15807c4f15c7bf1f3631abe08f9406ef3f0f1" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Secunia Research a découvert plusieurs vulnérabilités dans libraw, une bibliothèque de décodage dâimage brute, qui peuvent être exploitées pour provoquer un déni de service. Ces problèmes concernent des divisions par zéro, des accès de lecture mémoire hors limites, des dépassements de tampon basé sur le tas et des déréférencements de pointeur NULL.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.16.0-9+deb8u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets libraw.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1734.data" # $Id: $
#use wml::debian::translation-check translation="164f922e4b35996c145341479be131b57906cd8e" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité de divulgation de mémoire a été découverte dans OpenJDK, une implémentation de la plateforme Java dâOracle, aboutissant à une divulgation d'informations ou un contournement des restrictions de bac à sable.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 7u211-2.6.17-1~deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openjdk-7.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1732.data" # $Id: $
#use wml::debian::translation-check translation="ba57a248ba263b6695719c776e5da167539a570d" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été récemment découverts dans libssh2, une bibliothèque C coté client, mettant en Åuvre le protocole SSH2.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3855";>CVE-2019-3855</a> <p>Un défaut de dépassement d'entier, qui pouvait conduire à une écriture hors limites, a été découvert dans libssh2 dans la manière dont les paquets étaient lus à partir du serveur. Un attaquant distant qui corrompait un serveur SSH, pouvait exécuter du code dans le système client quand un utilisateur se connectait sur le serveur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3856";>CVE-2019-3856</a> <p>Un défaut de dépassement d'entier, qui pouvait conduire à une écriture hors limites, a été découvert dans libssh2 dans la manière dont les requêtes de saisie de clavier étaient analysées. Un attaquant distant qui corrompait un serveur SSH, pouvait exécuter du code dans le système client quand un utilisateur se connectait sur le serveur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3857";>CVE-2019-3857</a> <p>Un défaut de dépassement d'entier, qui pouvait conduire à une écriture hors limites, a été découvert dans libssh2 dans la manière dont les paquets SSH_MSG_CHANNEL_REQUEST avec un signal exit étaient analysés. Un attaquant distant qui corrompait un serveur SSH, pouvait exécuter du code dans le système client quand un utilisateur se connectait sur le serveur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3858";>CVE-2019-3858</a> <p>Un défaut de lecture hors limites a été découvert dans libssh2 quand un paquet SFTP contrefait pour l'occasion était reçu du serveur. Un attaquant distant qui corrompait un serveur SSH pouvait provoquer un déni de service ou lire des données dans la mémoire du client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3859";>CVE-2019-3859</a> <p>Un défaut de lecture hors limites a été découvert dans les fonctions _libssh2_paquet_require et _libssh2_paquet_requirev de libssh2. Un attaquant distant qui corrompait un serveur SSH pouvait provoquer un déni de service ou lire des données dans la mémoire du client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3860";>CVE-2019-3860</a> <p>Un défaut de lecture hors limites a été découvert dans libssh2 dans la manière dont les paquets SFTP avec des charges vides étaient analysés. Un attaquant distant qui corrompait un serveur SSH pouvait provoquer un déni de service ou lire des données dans la mémoire du client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3861";>CVE-2019-3861</a> <p>Un défaut de lecture hors limites a été découvert dans libssh2 dans la manière dont les paquets SSH avec une valeur de longueur de remplissage plus grande que la longueur du paquet étaient analysés. Un attaquant distant qui corrompait un serveur SSH pouvait provoquer un déni de service ou lire des données dans la mémoire du client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3862";>CVE-2019-3862</a> <p>Un défaut de lecture hors limites a été découvert dans libssh2 dans la manière dont les paquets SSH_MSG_CHANNEL_REQUEST avec un message dâétat exit et sans charge étaient analysés. Un attaquant distant qui corrompait un serveur SSH pouvait provoquer un déni de service ou lire des données dans la mémoire du client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3863";>CVE-2019-3863</a> <p>Un serveur pouvait envoyer plusieurs messages pour réponse interactive au clavier dont la longueur totale était plus grande que les caractères unsigned char max. Cette valeur était utilisée comme index pour copier la mémoire provoquant une erreur dâécriture en mémoire hors limites.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.4.3-4.1+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libssh2.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1730.data" # $Id: $
#use wml::debian::translation-check translation="4155ba4afd4c2c3f60348343afc14026bbc78f4b" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans wireshark, un analyseur de trafic réseau.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9209";>CVE-2019-9209</a>: <p>Prévention du plantage du BER ASN.1 et des dissecteurs associés en évitant un dépassement de tampon associé avec des nombres excessifs dans les valeurs de temps.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9349";>CVE-2017-9349</a>: <p>Correction dâune boucle infinie dans le dissecteur DICOM par la validation dâune valeur de longueur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9344";>CVE-2017-9344</a>: <p>Ãvitement dâune division par zéro, par la validation dâune valeur dâintervalle dans le dissecteur Bluetooth L2CAP.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.12.1+g01b65bf-4+deb8u18.</p> <p>Nous vous recommandons de mettre à jour vos paquets wireshark.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li> </ul> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1729.data" # $Id: $
#use wml::debian::translation-check translation="0706dcba0990f075e843c8aa509e0772d5ed71b9" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de client ont été découvertes dans OpenSSH, lâoutil premier de connectivité pour une connexion distante dâinterpréteur sécurisé et transfert de fichiers sécurisé.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20685";>CVE-2018-20685</a> <p>Dans scp.c, le client scp permettait aux serveurs SSH distants de contourner les restrictions dâaccès voulues à lâaide du nom de fichier « . » ou vide. Lâimpact modifiait les permissions du répertoire cible du côté client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-6109";>CVE-2019-6109</a> <p>Dû à un encodage de caractères manquant dans lâaffichage de progression, un serveur malveillant (ou attaquant de type « homme du milieu ») pouvait employer des noms dâobjet contrefaits pour manipuler la sortie du client, par exemple, en utilisant des codes de contrôle ANSI pour cacher le transfert de fichiers supplémentaires. Cela affecte refresh_progress_meter() dans progressmeter.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-6111";>CVE-2019-6111</a> <p>Dû à ce que lâimplémentation de scp est dérivée de rcp 1983, le serveur choisit quels fichiers ou répertoires sont envoyés au client. Cependant, le client scp ne réalise que la validation superficielle du nom dâobjet renvoyé (seules les attaques par traversée de répertoires sont empêchées). Un serveur scp malveillant (ou attaquant de type « homme du milieu ») pouvait écraser des fichiers arbitraires dans le répertoire cible du client scp. Si une opération récursive (-r) était réalisée, le serveur pouvait manipuler des sous-répertoires, ainsi que, par exemple, écraser le fichier .ssh/authorized_keys.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1:6.7p1-5+deb8u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssh.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1728.data" # $Id: $
#use wml::debian::translation-check translation="51cf9609c4eff060061972604aa739fe35439e4a" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web Firefox de Mozilla, qui pourrait éventuellement aboutir à l'exécution de code arbitraire.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 60.6.1esr-1~deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1727.data" # $Id: $
#use wml::debian::translation-check translation="525aadda8fdfdc6a27b2cdae7fd3f759628a46ae" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux problèmes ont été corrigés dans bash, lâinterpréteur de commandes GNU Bourne-Again Shell.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9401";>CVE-2016-9401</a> <p>Défaut de segmentation dans popd interne lorsquâappelé avec des décalages négatifs hors intervalle.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9924";>CVE-2019-9924</a> <p>Sylvain Beucler a découvert quâil est possible dâappeler des commandes contenant une barre oblique dans le mode restreint (rbash) en lâajoutant dans un tableau BASH_CMDS.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4.3-11+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets bash.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1726.data" # $Id: $
#use wml::debian::translation-check translation="54c33b7f6a6707a0e85d93a13c1bee1b0b7b70d6" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Trail de Bits utilisait les outils automatiques de découverte de vulnérabilité développés par «·Cyber Grand Challenge·» de DARPA pour inspecter zlib. Comme rsync, un outil rapide, polyvalent, de copie de fichiers distants (ou locaux), utilise une copie imbriquée de zlib, ces problèmes sont aussi présents dans rsync.</p> <p></p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9840";>CVE-2016-9840</a> <p>Dans le but dâéviter un comportement indéfini, suppression de lâoptimisation du pointeur de décalage, car ce nâest pas conforme avec la norme C.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9841";>CVE-2016-9841</a> <p>Utilisation seule dâune post-incrémentation pour être conforme avec la norme C.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9842";>CVE-2016-9842</a> <p>Dans le but dâéviter un comportement indéfini, ne pas modifier les valeurs négatives, car ce nâest pas conforme avec la norme C.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9843";>CVE-2016-9843</a> <p>Dans le but dâéviter un comportement indéfini, ne pas pré-décrémenter un pointeur dans le calcul CRC petit boutiste, car ce nâest pas conforme avec la norme C.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5764";>CVE-2018-5764</a> <p>Empêchement pour des attaquants distants dâêtre capable de contourner le mécanisme de protection argument-vérification en ignorant --protect-args lorsque déjà envoyé par le client.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.1.1-3+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets rsync.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li> </ul> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1725.data" # $Id: $
