Bonjour, le lundi 08 avril 17:15, Jean-Pierre Giraud a écrit : >quelques corrections et suggestions.
le mardi 09 avril 8:57, Baptiste Jammet a écrit : >Quelques détails sur la 1725. Aussi, je pense qu'il serait mieux (même >si plus long) de remplacer « la norme C » par « la norme du langage C ». Tout intégré, merci à vous deux Autre chance de commentaire. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="ba57a248ba263b6695719c776e5da167539a570d" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été récemment découvertes dans libssh2, une bibliothèque C coté client, mettant en Åuvre le protocole SSH2.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3855";>CVE-2019-3855</a> <p>Un défaut de dépassement d'entier, qui pouvait conduire à une écriture hors limites, a été découvert dans libssh2 dans la manière dont les paquets étaient lus à partir du serveur. Un attaquant distant qui corrompait un serveur SSH, pouvait exécuter du code dans le système client quand un utilisateur se connectait sur le serveur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3856";>CVE-2019-3856</a> <p>Un défaut de dépassement d'entier, qui pouvait conduire à une écriture hors limites, a été découvert dans libssh2 dans la manière dont les requêtes de saisie de clavier étaient analysées. Un attaquant distant qui corrompait un serveur SSH, pouvait exécuter du code dans le système client quand un utilisateur se connectait sur le serveur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3857";>CVE-2019-3857</a> <p>Un défaut de dépassement d'entier, qui pouvait conduire à une écriture hors limites, a été découvert dans libssh2 dans la manière dont les paquets SSH_MSG_CHANNEL_REQUEST avec un signal exit étaient analysés. Un attaquant distant qui corrompait un serveur SSH, pouvait exécuter du code dans le système client quand un utilisateur se connectait sur le serveur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3858";>CVE-2019-3858</a> <p>Un défaut de lecture hors limites a été découvert dans libssh2 quand un paquet SFTP contrefait pour l'occasion était reçu du serveur. Un attaquant distant qui corrompait un serveur SSH pouvait provoquer un déni de service ou lire des données dans la mémoire du client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3859";>CVE-2019-3859</a> <p>Un défaut de lecture hors limites a été découvert dans les fonctions _libssh2_paquet_require et _libssh2_paquet_requirev de libssh2. Un attaquant distant qui corrompait un serveur SSH pouvait provoquer un déni de service ou lire des données dans la mémoire du client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3860";>CVE-2019-3860</a> <p>Un défaut de lecture hors limites a été découvert dans libssh2 dans la manière dont les paquets SFTP avec des charges vides étaient analysés. Un attaquant distant qui corrompait un serveur SSH pouvait provoquer un déni de service ou lire des données dans la mémoire du client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3861";>CVE-2019-3861</a> <p>Un défaut de lecture hors limites a été découvert dans libssh2 dans la manière dont les paquets SSH avec une valeur de longueur de remplissage plus grande que la longueur du paquet étaient analysés. Un attaquant distant qui corrompait un serveur SSH pouvait provoquer un déni de service ou lire des données dans la mémoire du client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3862";>CVE-2019-3862</a> <p>Un défaut de lecture hors limites a été découvert dans libssh2 dans la manière dont les paquets SSH_MSG_CHANNEL_REQUEST avec un message dâétat exit et sans charge étaient analysés. Un attaquant distant qui corrompait un serveur SSH pouvait provoquer un déni de service ou lire des données dans la mémoire du client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3863";>CVE-2019-3863</a> <p>Un serveur pouvait envoyer plusieurs messages pour réponse interactive au clavier dont la longueur totale était plus grande que les caractères unsigned char max. Cette valeur était utilisée comme index pour copier la mémoire provoquant une erreur dâécriture en mémoire hors limites.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.4.3-4.1+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libssh2.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1730.data" # $Id: $
#use wml::debian::translation-check translation="0706dcba0990f075e843c8aa509e0772d5ed71b9" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de client ont été découvertes dans OpenSSH, lâoutil vedette de connectivité pour une connexion distante dâinterpréteur sécurisé et transfert de fichiers sécurisé.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20685";>CVE-2018-20685</a> <p>Dans scp.c, le client scp permettait aux serveurs SSH distants de contourner les restrictions dâaccès voulues à lâaide du nom de fichier « . » ou vide. Lâimpact modifiait les permissions du répertoire cible du côté client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-6109";>CVE-2019-6109</a> <p>Dû à un encodage de caractères manquant dans lâaffichage de progression, un serveur malveillant (ou un attaquant de type « homme du milieu ») pouvait employer des noms dâobjet contrefaits pour manipuler la sortie du client, par exemple, en utilisant des codes de contrôle ANSI pour cacher le transfert de fichiers supplémentaires. Cela affecte refresh_progress_meter() dans progressmeter.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-6111";>CVE-2019-6111</a> <p>Du fait que lâimplémentation de scp est dérivée de rcp 1983, le serveur choisit quels fichiers ou répertoires sont envoyés au client. Cependant, le client scp ne réalise qu'une validation superficielle du nom dâobjet renvoyé (seules les attaques par traversée de répertoires sont empêchées). Un serveur scp malveillant (ou un attaquant de type « homme du milieu ») pouvait écraser des fichiers arbitraires dans le répertoire cible du client scp. Si une opération récursive (-r) était réalisée, le serveur pouvait manipuler des sous-répertoires, ainsi que, par exemple, écraser le fichier .ssh/authorized_keys.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1:6.7p1-5+deb8u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssh.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1728.data" # $Id: $
#use wml::debian::translation-check translation="51cf9609c4eff060061972604aa739fe35439e4a" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web Firefox de Mozilla, qui pourraient éventuellement aboutir à l'exécution de code arbitraire.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 60.6.1esr-1~deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1727.data" # $Id: $
#use wml::debian::translation-check translation="525aadda8fdfdc6a27b2cdae7fd3f759628a46ae" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux problèmes ont été corrigés dans bash, lâinterpréteur de commandes GNU Bourne-Again Shell.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9401";>CVE-2016-9401</a> <p>Défaut de segmentation dans popd interne lorsquâil est appelé avec des décalages négatifs hors intervalle.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9924";>CVE-2019-9924</a> <p>Sylvain Beucler a découvert quâil est possible dâappeler des commandes contenant une barre oblique dans le mode restreint (rbash) en lâajoutant dans un tableau BASH_CMDS.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4.3-11+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets bash.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1726.data" # $Id: $
#use wml::debian::translation-check translation="54c33b7f6a6707a0e85d93a13c1bee1b0b7b70d6" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Trail de Bits a utilisé les outils automatiques de découverte de vulnérabilité développés par « Cyber Grand Challenge » de DARPA pour inspecter zlib. Comme rsync, un outil rapide, polyvalent, de copie de fichiers distants (ou locaux), utilise une copie embarquée de zlib, ces problèmes sont aussi présents dans rsync.</p> <p></p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9840";>CVE-2016-9840</a> <p>Dans le but dâéviter un comportement indéfini, suppression de lâoptimisation du pointeur de décalage, car ce nâest pas conforme avec la norme C.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9841";>CVE-2016-9841</a> <p>Utilisation seule dâune post-incrémentation pour être conforme avec la norme du langage C.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9842";>CVE-2016-9842</a> <p>Dans le but dâéviter un comportement indéfini, ne pas modifier les valeurs négatives, car ce nâest pas conforme avec la norme du langage C.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9843";>CVE-2016-9843</a> <p>Dans le but dâéviter un comportement indéfini, ne pas pré-décrémenter un pointeur dans le calcul CRC petit boutiste, car ce nâest pas conforme avec la norme du langage C.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5764";>CVE-2018-5764</a> <p>Empêchement pour des attaquants distants dâêtre capable de contourner le mécanisme de protection argument-vérification en ignorant --protect-args lorsque déjà envoyé par le client.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.1.1-3+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets rsync.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li> </ul> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1725.data" # $Id: $
