Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="7ffef0023f34d7c53a833c38688b33aa4f60fd6b" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux problèmes de sécurité ont été détectés dans zeromq3.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20234";>CVE-2021-20234</a> <p>Fuite de mémoire dans un client provoquée par des serveurs malveillants sans CURVE/ZAP.</p> <p>D’après la description du problème [<a href="https://github.com/zeromq/libzmq/security/advisories/GHSA-wfr2-29gj-5w87";>1</a>], lorsqu’un tube (pipe) traite un délimiteur et n’est pas dans un état actif mais a encore un message non terminé, le message est divulgué.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20235";>CVE-2021-20235</a> <p>Dépassement de tas lors de la réception de paquets ZMTP version 1 mal formés.</p> <p>D’après la description du problème [<a href="https://github.com/zeromq/libzmq/security/advisories/GHSA-fc3w-qxf5-7hp6";>2</a>], l’allocateur statique a été implémenté pour diminuer sa taille enregistrée de la même façon que l’allocateur partagé. Mais ce n’est pas nécessaire, et ne devrait pas l’être, car au contraire de celui partagé, l’allocateur statique utilise toujours un tampon statique, avec une taille définie par l’option de socket ZMQ_IN_BATCH_SIZE (par défaut 8192), aussi modifier la taille engage la bibliothèque dans un dépassement de tas. L’allocateur statique est utilisé seulement avec les pairs ZMTP version 1.</p> </li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 4.2.1-4+deb9u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets zeromq3.</p> <p>Pour disposer d'un état détaillé sur la sécurité de zeromq3, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/zeromq3";>\ https://security-tracker.debian.org/tracker/zeromq3</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2588.data" # $Id: $
#use wml::debian::translation-check translation="dfd0e9eb094490e9b06281ec82715969a07d7c11" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans privoxy, un mandataire web avec des capacités poussées de filtrage.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20272";>CVE-2021-20272</a> <p>Un échec d’assertion pourrait être provoqué par une requête CGI contrefaite conduisant à un plantage du serveur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20273";>CVE-2021-20273</a> <p>Un plantage peut se produire à l'aide d'une requête CGI contrefaite si Privoxy est désactivé.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20275";>CVE-2021-20275</a> <p>Une lecture non valable de taille deux peut se produire dans chunked_body_is_complete(), conduisant à un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20276";>CVE-2021-20276</a> <p>Un accès en mémoire non valable avec un modèle non autorisé passé à pcre_compile() pourrait conduire à déni de service.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 3.0.26-3+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets privoxy.</p> <p>Pour disposer d'un état détaillé sur la sécurité de privoxy, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/privoxy";>\ https://security-tracker.debian.org/tracker/privoxy</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2587.data" # $Id: $
