Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="5a40d9e7ce1735be2ce6c7cbf2f10b178e659b58" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Python2.7, un langage interactif de haut niveau orienté objet.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20852";>CVE-2018-20852</a> <p>En utilisant un serveur malveillant, un attaquant pourrait dérober les cookies destinés à dâautres domaines.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-5010";>CVE-2019-5010</a> <p>Déréférencement de pointeur NULL en utilisant un certificat X509 contrefait pour l'occasion.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9636";>CVE-2019-9636</a> <p>Traitement incorrect dâencodage Unicode (avec un netloc incorrect) lors dâune normalisation NFKC aboutissant à une divulgation d'informations (accréditations, cookies, etc., mis en cache pour un nom dâhôte donné). Une URL contrefaite pour l'occasion pourrait être analysée incorrectement pour identifier des cookies ou des données dâauthentification et envoyer ces informations à un hôte différent de celui analysé correctement.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9740";>CVE-2019-9740</a> <p>Un problème a été découvert dans urllib2 où une injection CRLF est possible si lâattaquant contrôle un paramètre dâURL, comme le montre le premier argument dâurllib.request.urlopen avec \r\n (particulièrement avec la chaîne de requête après un caractère ?) suivi par un en-tête HTTP ou une commande Redis.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9947";>CVE-2019-9947</a> <p>Un problème a été découvert dans urllib2 où une injection CRLF est possible si lâattaquant contrôle un paramètre dâURL, comme le montre le premier argument dâurllib.request.urlopen avec \r\n (particulièrement avec la chaîne de requête après un caractère ?) suivi par un en-tête HTTP ou une commande Redis. Cela est similaire au problème de requête de chaîne <a href="https://security-tracker.debian.org/tracker/CVE-2019-9740";>CVE-2019-9740</a>. </p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9948";>CVE-2019-9948</a> <p>urllib gère <q>local_file: scheme</q>, ce qui facilite une attaque distante de contournement des mécanismes de protection qui mettent en liste noire les <q>file: URI</q>, comme le montre un appel à urllib.urlopen('local_file:///etc/passwd').</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10160";>CVE-2019-10160</a> <p>Une régression de sécurité <a href="https://security-tracker.debian.org/tracker/CVE-2019-9636";>CVE-2019-9636</a> a été découverte qui permet encore à un attribut dâexploiter <a href="https://security-tracker.debian.org/tracker/CVE-2019-9636";>CVE-2019-9636</a> en exploitant les parties utilisateur et mot de passe dâune URL. Lorsquâune application analyse une URL fournie par lâutilisateur pour stocker les cookies, les accréditations ou dâautres sortes dâinformation, il est possible pour un attaquant de fournir des URL contrefaites pour l'occasion pour que lâapplication identifie des informations relatives à lâhôte (par exemple, cookies, données dâauthentification) et les envoie au mauvais hôte, contrairement à lâanalyse correcte dâune URL. Cette attaque aboutit différemment selon lâapplication.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-16056";>CVE-2019-16056</a> <p>Le module de courriel analyse mal les addresses de courriel contenant plusieurs caractères @. Une application utilisant le module de courriel et mettant en Åuvre une certaine sorte de vérification des en-têtes From/To dâun message pourrait être trompée et accepter une adresse de courriel qui aurait due être refusée.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-20907";>CVE-2019-20907</a> <p>Lâouverture dâun fichier tar contrefait pourrait aboutir à une boucle infinie due à une validation manquante dâen-tête.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 2.7.13-2+deb9u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets python2.7.</p> <p>Pour disposer d'un état détaillé sur la sécurité de python2.7, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/python2.7";>https://security-tracker.debian.org/tracker/python2.7</a>.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li> </ul> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2337.data" # $Id: $
#use wml::debian::translation-check translation="99aaabe6a2f6e9b687d7c080767680f2c7b772b1" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Tim Starling a découvert deux vulnérabilités dans firejail, un programme de bac à sable pour restreindre lâenvironnement dâapplications non fiables.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-17367";>CVE-2020-17367</a> <p>Il a été signalé que firejail ne respecte pas le séparateur de fin dâoption (« -- »), permettant à un attaquant contrôlant les options de ligne de commande de lâapplication dans le bac à sable dâécrire des données dans un fichier spécifié.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-17368";>CVE-2020-17368</a> <p>Il a été signalé que firejail lors de la redirection de la sortie à lâaide de --output ou --output-stderr, concatène tous les arguments de ligne de commande en une seule chaîne passée à un interpréteur. Un attaquant contrôlant les options de ligne de commande de lâapplication dans le bac à sable pourrait exploiter ce défaut pour exécuter dâautres commandes arbitraires.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 0.9.44.8-2+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets firejail.</p> <p>Pour disposer d'un état détaillé sur la sécurité de firejail, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/firejail";>https://security-tracker.debian.org/tracker/firejail</a>.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li> </ul> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2336.data" # $Id: $
#use wml::debian::translation-check translation="d6728bdd7432b78389b8783b62fd6a96413d384b" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans sqlite3, une bibliothèque C qui met en Åuvre un moteur de base de données SQL.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8740";>CVE-2018-8740</a> <p>Les bases de données dont le schéma est corrompu utilisant une construction CREATE TABLE AS pourraient provoquer un déréférencement de pointeur NULL.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20346";>CVE-2018-20346</a> <p>Lorsque lâextension FTS3 est active, sqlite3 est confronté à un dépassement d'entier (et le dépassement de tampon consécutif) pour les requêtes FTS3 qui surviennent après des modifications faites sur des <q>shadow tables</q>, permettant à des attaquants distants dâexécuter du code arbitraire en exploitant la possibilité dâexécuter des constructions SQL arbitraires.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20506";>CVE-2018-20506</a> <p>Lorsque lâextension FTS3 est active, sqlite3 est confronté à un dépassement d'entier (et le dépassement de tampon consécutif) pour les requêtes FTS3 dans une opération <q>merge</q> qui surviennent après des modifications faites sur des <q>shadow tables</q>, permettant à des attaquants distants dâexécuter du code arbitraire en exploitant la possibilité dâexécuter des constructions SQL arbitraires.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-5827";>CVE-2019-5827</a> <p>Un dépassement d'entier permettait à un attaquant distant dâéventuellement exploiter une corruption de tas à l'aide d'une page HTML contrefaite, et impactait principalement chromium.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9936";>CVE-2019-9936</a> <p>Lâexécution de requêtes de préfixe fts5 dans une transaction pourrait déclencher une lecture hors limites de tampon de tas. Cela pourrait conduire à une fuite d'informations.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9937";>CVE-2019-9937</a> <p>Lâintercalation de lectures et écritures dans une seule transaction avec une table virtuelle fts5 pourrait conduire à un déréférencement de pointeur NULL.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-16168";>CVE-2019-16168</a> <p>Un navigateur ou une autre application peut être amené à planter à cause dâune validation inadéquate de paramètre qui pourrait conduire à erreur de division par zéro.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-20218";>CVE-2019-20218</a> <p><q>Unwinding</q> la pile WITH sâexécute même après une erreur dâanalyse, aboutissant à un possible plantage d'application.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13630";>CVE-2020-13630</a> <p>Le code relatif à la fonctionnalité snippet expose à un défaut dâutilisation de mémoire après libération.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13632";>CVE-2020-13632</a> <p>Une requête matchinfo() contrefaite peut conduire à un déréférencement de pointeur NULL.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13871";>CVE-2020-13871</a> <p>La réécriture de lâarbre dâanalyse pour les fonctions de fenêtrage est trop tardive, conduisant à un défaut dâutilisation de mémoire après libération.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11655";>CVE-2020-11655</a> <p>Une initialisation incorrecte dâobjets AggInfo permet à des attaquants de provoquer un déni de service (erreur de segmentation) à l'aide d'une requête de fonction de fenêtrage mal formée.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13434";>CVE-2020-13434</a> <p>Le code dans sqlite3_str_vappendf dans printf.c contient un défaut de dépassement d'entier.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 3.16.2-5+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets sqlite3.</p> <p>Pour disposer d'un état détaillé sur la sécurité de sqlite3, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/sqlite3";>https://security-tracker.debian.org/tracker/sqlite3</a>.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2340.data" # $Id: $
#use wml::debian::translation-check translation="f7354499972d081e45ef608b208b94c2e39515b8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Jason A. Donenfeld a découvert une injection de séquence dâéchappement ANSI dans software-properties, un gestionnaire pour les sources des dépôts dâapt. Un attaquant pourrait manipuler lâécran de lâutilisateur pour inciter à installer un dépôt supplémentaire (PPA).</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 0.96.20.2-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets software-properties.</p> <p>Pour disposer d'un état détaillé sur la sécurité de software-properties, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/software-properties";>https://security-tracker.debian.org/tracker/software-properties</a></p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2339.data" # $Id: $
#use wml::debian::translation-check translation="ce4cd86d5bf126f0056ff5fc640643aa295c3dc2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs fuites de mémoire ont été découvertes dans proftpd-dfsg, un démon FTP polyvalent dâhébergement virtuel, lorsque mod_facl ou mod_sftp sont utilisés, qui pourraient conduire à un épuisement de mémoire et un déni de service.</p> <p>La mise à jour rend les mises à niveau automatiques de proftpd-dfsg de Debian 8 vers Debian 9 de nouveau possibles.</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 1.3.5e+r1.3.5b-4+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets proftpd-dfsg.</p> <p>Pour disposer d'un état détaillé sur la sécurité de proftpd-dfsg, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/proftpd-dfsg";>https://security-tracker.debian.org/tracker/proftpd-dfsg</a></p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2338.data" # $Id: $
