Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="3918b0d45e0d283f86118204cd22dda8427cf069" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été identifiées dans le code VNC de iTALC, un logiciel de gestion dâenseignement. Toutes les vulnérabilités référencées ci-dessous sont des problèmes qui ont été signalés à lâorigine pour le paquet source libvncserver. Le paquet source italc dans Debian fournit une version personnalisée de libvncserver, par conséquent les corrections de sécurité de libvncserver nécessitent un portage.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6051";>CVE-2014-6051</a> <p>Un dépassement dâentier dans la fonction MallocFrameBuffer dans vncviewer.c dans LibVNCServer permettait à des serveurs VNC distants de provoquer un déni de service (plantage) et éventuellement lâexécution de code arbitraire code à l'aide d'une annonce pour une taille dâécran très grande qui déclenchait un dépassement de tampon basé sur le tas.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6052";>CVE-2014-6052</a> <p>La fonction HandleRFBServerMessage dans libvncclient/rfbproto.c dans LibVNCServer ne vérifiait pas certaines valeurs malloc de renvoi, qui permettait à des serveurs VNC distants de provoquer un déni de service (plantage d'application) ou éventuellement dâexécuter du code arbitraire en indiquant une taille dâécran très grande dans un message (1) FramebufferUpdate, (2) ResizeFrameBuffer, ou (3) PalmVNCReSizeFrameBuffer.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6053";>CVE-2014-6053</a> <p>La fonction rfbProcessClientNormalMessage dans libvncserver/rfbserver.c dans LibVNCServer ne gérait pas correctement les tentatives dâenvoi dâun grand montant de données ClientCutText, qui permettait à des attaquants distants de provoquer un déni de service (consommation de mémoire ou plantage du démon) à l'aide d'un message contrefait qui était traité en utilisant un seul malloc non vérifié.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6054";>CVE-2014-6054</a> <p>La fonction rfbProcessClientNormalMessage dans libvncserver/rfbserver.c dans LibVNCServer permettait à des attaquants distants de provoquer un déni de service (erreur de division par zéro et plantage du serveur) à l'aide d'une valeur zéro dans le facteur dâéchelle dans un message (1) PalmVNCSetScaleFactor ou (2) SetScale.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6055";>CVE-2014-6055</a> <p>Plusieurs dépassements de pile dans la fonction de transfert de fichier dans rfbserver.c dans LibVNCServer permettaient à des utilisateurs distants authentifiés de provoquer un déni de service (plantage) et éventuellement dâexécuter du code arbitraire à l'aide d'un (1) long fichier ou (2) nom de répertoire ou (3) lâattribut FileTime dans un message rfbFileTransferOffer.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9941";>CVE-2016-9941</a> <p>Un dépassement de tampon basé sur le tas dans rfbproto.c dans LibVNCClient dans LibVNCServer permettait à un serveur distant de provoquer un déni de service (plantage d'application) ou éventuellement dâexécuter du code arbitraire à l'aide d'un message contrefait FramebufferUpdate contenant un sous-rectangle en dehors de lâaire de dessin du client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9942";>CVE-2016-9942</a> <p>Un dépassement de tampon basé sur le tas dans ultra.c dans LibVNCClient dans LibVNCServer permettait à un serveur distant de provoquer un déni de service (plantage d'application) ou éventuellement dâexécuter du code arbitraire à l'aide d'un message contrefait FramebufferUpdate avec une tuile de type Ultra, de telle façon que la longueur de charge LZO décompressée excédait les dimensions indiquées de tuile.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6307";>CVE-2018-6307</a> <p>LibVNC contenait une vulnérabilité dâutilisation de tas après libération dans le code de serveur de lâextension de transfert de fichier qui pourrait aboutir à une exécution de code à distance.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7225";>CVE-2018-7225</a> <p>Un problème a été découvert dans LibVNCServer. rfbProcessClientNormalMessage() dans rfbserver.c ne nettoyait pas msg.cct.length, conduisant à un accès à des données non initialisées et éventuellement sensibles ou éventuellement avoir un autre impact non précisé (par exemple, un dépassement d'entier) à lâaide de paquets VNC contrefaits pour l'occasion.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-15126";>CVE-2018-15126</a> <p>LibVNC contenait une vulnérabilité dâutilisation de tas après libération dans le code de serveur de lâextension de transfert de fichier qui pouvait aboutir à une exécution de code à distance.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-15127";>CVE-2018-15127</a> <p>LibVNC contenait une vulnérabilité dâécriture de tas hors limites dans le code de serveur de lâextension de transfert de fichier qui pouvait aboutir à une exécution de code à distance.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20749";>CVE-2018-20749</a> <p>LibVNC contenait une vulnérabilité dâécriture de tas hors limites dans libvncserver/rfbserver.c. Le correctif pour <a href="https://security-tracker.debian.org/tracker/CVE-2018-15127";>CVE-2018-15127</a> était incomplet.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20750";>CVE-2018-20750</a> <p>LibVNC contenait une vulnérabilité dâécriture de tas hors limites dans libvncserver/rfbserver.c. Le correctif pour <a href="https://security-tracker.debian.org/tracker/CVE-2018-15127";>CVE-2018-15127</a> était incomplet.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20019";>CVE-2018-20019</a> <p>LibVNC contenait plusieurs vulnérabilités dâécriture de tas hors limites dans le code VNC de client qui pourrait aboutir à lâexécution de code à distance</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20748";>CVE-2018-20748</a> <p>LibVNC contenait plusieurs vulnérabilités dâécriture de tas hors limites dans libvncclient/rfbproto.c. Le correctif pour <a href="https://security-tracker.debian.org/tracker/CVE-2018-20019";>CVE-2018-20019</a> était incomplet.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20020";>CVE-2018-20020</a> <p>LibVNC contenait une vulnérabilité dâécriture de tas hors limites dans une structure dans le code VNC de client qui pourrait aboutir à lâexécution de code à distance</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20021";>CVE-2018-20021</a> <p>LibVNC contenait une CWE-835 : vulnérabilité de boucle infinie dans le code VNC de client. Cette vulnérabilité permet à un attaquant de consommer un mentant excessif de ressources telles que de CPU et RAM</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20022";>CVE-2018-20022</a> <p>LibVNC contenait plusieurs faiblesses CWE-665 : vulnérabilité dâinitialisation dans le code VNC de client qui permettaient être des attaquants de lire la mémoire de pile et pourrait être abusé pour divulguer des informations. Combinées avec une autre vulnérabilité, cela pourrait être utilisé pour divulguer la disposition de mémoire de pile et dans un contournement ASLR.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20023";>CVE-2018-20023</a> <p>LibVNC contenait une CWE-665 : vulnérabilité dâinitialisation incorrecte dans le code VNC de client Repeater, qui permettait à un attaquant de lire la mémoire de pile et pourrait être abusé pour divulguer des informations. Combinée avec une autre vulnérabilité, cela pourrait être utilisé pour divulguer la disposition de mémoire de pile et dans un contournement ASLR.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20024";>CVE-2018-20024</a> <p>LibVNC contenait un déréférencement de pointeur NULL dans le code VNC de client qui pourrait aboutir à un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15681";>CVE-2019-15681</a> <p>LibVNC contenait une fuite de mémoire (CWE-655) dans le code VNC de serveur qui permettait à un attaquant de lire la mémoire de pile et pourrait être abusé pour divulguer des informations. Combinée avec une autre vulnérabilité, cela pourrait être utilisé pour divulguer la mémoire de pile et dans un contournement ASLR. Cette attaque apparaissait être exploitable à lâaide de la connexion au réseau.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1:2.0.2+dfsg1-2+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets italc.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1979.data" # $Id: $
#use wml::debian::translation-check translation="c7d7fff9e492c5a5172950f1bb3e321f78aa48c8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>python-ecdsa, une bibliothèque de chiffrement de signature pour Python, ne vérifiait pas correctement les signatures chiffrées avec DER. Des signatures malformées pourraient conduire à des exceptions inattendues et dans quelques cas ne soulevaient pas dâexception.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.11-1+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-ecdsa.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1978.data" # $Id: $
#use wml::debian::translation-check translation="5604277235424442da2fc504714ab248acde9e70" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>LibVNC contenait une fuite de mémoire (CWE-655) dans le code de serveur VNC qui permettait à un attaquant de lire la mémoire de pile et pourrait être abusé pour une divulgation d'informations.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 0.9.9+dfsg2-6.1+deb8u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets libvncserver.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1977.data" # $Id: $
#use wml::debian::translation-check translation="e12121cd3a8de6ab32391a5f1fb5e4473eccc5eb" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Lâoutil imapfilter, un utilitaire de scriptage dâopérations IMAP en Lua, nâavait pas de prise en charge de validation de nom de serveur et de nom dâhôte dans le certificat de pair.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1:2.5.2-2+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets imapfilter.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1976.data" # $Id: $
#use wml::debian::translation-check translation="c1a08cd900888b8d71b33bf81e3402652481bcff" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>SPIP, un moteur de publication pour site web, permettrait à un utilisateur non authentifié de modifier le contenu publié et écrire dans la base de données, de réaliser des contrefaçons de requête intersite et dâénumérer les utilisateurs enregistrés.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.0.17-2+deb8u5.</p> <p>Nous vous recommandons de mettre à jour vos paquets spip.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1975.data" # $Id: $
#use wml::debian::translation-check translation="293eb386e920b89266e63368e52f00b34fff43fc" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un problème a été découvert dans proftp-dfsg, un démon polyvalent dâhôtes virtuels FTP.</p> <p>à cause dâun traitement incorrect de commandes excessivement longues, un utilisateur distant non authentifié pourrait déclencher un déni de service en obtenant une boucle infinie.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1.3.5e+r1.3.5-2+deb8u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets proftpd-dfsg.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1974.data" # $Id: $
#use wml::debian::translation-check translation="06fbd733f9ff29d720153252bef22c786a811b3b" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts dans mosquitto, un courtier de message compatible MQTT version 3.1/3.1.1.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7655";>CVE-2017-7655</a> <p>Une vulnérabilité de déréférencement de pointeur NULL dans la bibliothèque Mosquitto pourrait conduire à des plantages pour ces applications utilisant la bibliothèque.</p> </li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12550";>CVE-2018-12550</a> <p>Un fichier dâACL avec aucune déclaration était traité comme ayant une politique allow par défaut. Le nouveau comportement dâun fichier vide est une politique dâaccès denied par défaut (cela est en conformité avec toutes les nouvelles publications).</p> </li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12551";>CVE-2018-12551</a> <p>Des données dâauthentification mal formées dans le fichier de mot de passe pourraient permettre aux clients de contourner lâauthentification et obtenir un accès au courtier.</p> </li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11779";>CVE-2019-11779</a> <p>Correction pour traiter un paquet contrefait SUBSCRIBE contenant un sujet consistant en approximativement 65400 ou plus caractères « / » (réglant TOPIC_HIERARCHY_LIMIT à  200)</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.3.4-2+deb8u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets mosquitto.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li> </ul> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1972.data" # $Id: $
#use wml::debian::translation-check translation="71299afea8ab0fdda4bd973db7e3fb7b3c77893a" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un problème a été découvert dans libarchive, une bibliothèque dâarchive multi-format et de compression.</p> <p>Dans le cas où une archive contrefaite contient plusieurs parties et quâune partie est corrompue, il y aura une utilisation de mémoire après libération pour la partie suivante de lâarchive.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 3.1.2-11+deb8u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets libarchive.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1971.data" # $Id: $
#use wml::debian::translation-check translation="eb5b9624cb16305aa7a0157413dd32b8fa163156" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un problème a été découvert dans file, un outil pour déterminer le type de fichier en utilisant les nombres magiques.</p> <p>Le nombre dâéléments CDF_VECTOR doit être restreint afin de prévenir un dépassement de tampon basé sur le tas (écriture de 4 octets hors limites).</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1:5.22+15-2+deb8u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets file.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1969.data" # $Id: $
