Bonjour, Ces annonces de sécurité ont été publiées (certaines parties sont des copies de DSA). Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="8a159b4486c5735a9f07d32e1ad7693d155b7886" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans BIND, une implémentation de serveur DNS.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-25214";>CVE-2021-25214</a> <p>Greg Kuechle a découvert qu'un transfert entrant IXFR mal formé pourrait déclencher un échec d'assertion dans named, avec pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-25215";>CVE-2021-25215</a> <p>Siva Kakarla a découvert que named pourrait planter quand un enregistrement de DNAME placé dans la section ANSWER durant la poursuite de DNAME se révélait être la réponse finale à une requête d'un client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-25216";>CVE-2021-25216</a> <p>L'implémentation de SPNEGO utilisée par BIND est prédisposée à une vulnérabilité de dépassement de tampon. Cette mise à jour bascule vers l'implémentation de SPNEGO provenant des bibliothèques Kerberos.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1:9.10.3.dfsg.P4-12.3+deb9u9.</p> <p>Nous vous recommandons de mettre à jour vos paquets bind9.</p> <p>Pour disposer d'un état détaillé sur la sécurité de bind9, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/bind9";>\ https://security-tracker.debian.org/tracker/bind9</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2647.data" # $Id: $
#use wml::debian::translation-check translation="d1bcbf163583b1deec6c984fea10d52db009d20d" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Le projet Drupal a identifié une vulnérabilité dans le nettoyage réalisé dans la fonction _filter_xss_arttributes, permettant éventuellement un script intersite et lui a octroyé l’identifiant d’annonce de sécurité de Drupal SA-CORE-2021-002 :</p> <p>https://www.drupal.org/sa-core-2021-002</p> <p>Aucun numéro de CVE n’a été annoncé.</p> <p>Pour Debian 9 <q>Stretch</q>, le correctif pour ce problème a été rétroporté dans la version 7.52-2+deb9u15.</p> <p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p> <p>Pour disposer d'un état détaillé sur la sécurité de drupal7, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/source-package/drupal7";>\ https://security-tracker.debian.org/tracker/source-package/drupal7</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> <p> Pour Debian 9 <q>Stretch</q>, ces problèmes ont été résolus dans la version 7.52-2+deb9u15 de drupal7</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2637.data" # $Id: $
#use wml::debian::translation-check translation="725b6dd711e411f96401c313b37918a6f67775bb" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p><a href="https://security-tracker.debian.org/tracker/CVE-2021-26930";>CVE-2021-26930</a> <a href="https://security-tracker.debian.org/tracker/CVE-2021-26931";>CVE-2021-26931</a> <a href="https://security-tracker.debian.org/tracker/CVE-2021-26932";>CVE-2021-26932</a> <a href="https://security-tracker.debian.org/tracker/CVE-2021-27363";>CVE-2021-27363</a> <a href="https://security-tracker.debian.org/tracker/CVE-2021-27364";>CVE-2021-27364</a> <a href="https://security-tracker.debian.org/tracker/CVE-2021-27365";>CVE-2021-27365</a> <a href="https://security-tracker.debian.org/tracker/CVE-2021-28038";>CVE-2021-28038</a> <a href="https://security-tracker.debian.org/tracker/CVE-2021-28660";>CVE-2021-28660</a> Debian Bug: 983595</p> <p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à l'exécution de code arbitraire, une élévation des privilèges, un déni de service ou une fuite d'informations.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-27170";>CVE-2020-27170</a> <p>, <a href="https://security-tracker.debian.org/tracker/CVE-2020-27171";>CVE-2020-27171</a>.</p> <p>Piotr Krysiuk a découvert des défauts dans les vérifications du sous-système BPF pour une fuite d'informations à travers une exécution spéculative. Un utilisateur local pourrait utiliser cela pour obtenir des informations sensibles de la mémoire du noyau.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3348";>CVE-2021-3348</a> <p>ADlab de venustech a découvert une situation de compétition dans le pilote de bloc nbd qui peut conduire à une utilisation de mémoire après libération. Un utilisateur local avec accès au périphérique bloc nbd pourrait utiliser cela pour provoquer un déni de service (plantage ou corruption de mémoire) ou, éventuellement, pour une élévation des privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-3428";>CVE-2021-3428</a> <p>Wolfgang Frisch a signalé un dépassement potentiel d'entier dans le pilote de système de fichiers ext4. Un utilisateur autorisé à monter une image arbitraire de système de fichiers pourrait utiliser cela pour provoquer un déni de service (plantage).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-26930";>CVE-2021-26930</a> <p>(XSA-365)</p> <p>Olivier Benjamin, Norbert Manthey, Martin Mazein et Jan H. Schönherr ont découvert que le pilote de dorsal de bloc Xen (xen-blkback) ne gérait pas correctement les erreurs de mappage d’allocation. Un invité malveillant pourrait exploiter ce bogue pour provoquer un déni de service (plantage), ou éventuellement une fuite d'informations ou une élévation des privilèges, dans le domaine exécutant le dorsal, qui est classiquement dom0.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-26931";>CVE-2021-26931</a> <p>(XSA-362), <a href="https://security-tracker.debian.org/tracker/CVE-2021-26932";>CVE-2021-26932</a> (XSA-361), <a href="https://security-tracker.debian.org/tracker/CVE-2021-28038";>CVE-2021-28038</a> (XSA-367)</p> <p>Jan Beulich a découvert que le code de prise en charge de Xen et de divers pilotes de dorsal Xen ne gérait pas correctement les erreurs de mappage d’allocation. Un invité malveillant pourrait exploiter ce bogue pour provoquer un déni de service (plantage), ou éventuellement une fuite d'informations ou une élévation des privilèges, dans le domaine exécutant le dorsal, qui est classiquement dom0.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-27363";>CVE-2021-27363</a> <p>Adam Nichols a signalé que le sous-système initiateur iSCSI ne restreignait pas correctement l’accès aux attributs de gestion de transport dans sysfs. Dans un système agissant comme initiateur iSCSI, cela constitue une fuite d'informations vers des utilisateurs locaux et facilite l’exploitation du <a href="https://security-tracker.debian.org/tracker/CVE-2021-27364";>CVE-2021-27364</a>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-27364";>CVE-2021-27364</a> <p>Adam Nichols a signalé que le sous-système initiateur iSCSI ne restreignait pas correctement l’accès à son interface de gestion netlink. Dans un système agissant comme initiateur iSCSI, un utilisateur local pourrait utiliser cela pour provoquer un déni de service (déconnexion du stockage) ou éventuellement pour une élévation des privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-27365";>CVE-2021-27365</a> <p>Adam Nichols a signalé que le sous-système initiateur iSCSI ne restreignait pas correctement la longueur des paramètres ou des <q>passthrough PDU</q> envoyés à travers son interface de gestion netlink. Dans un système agissant comme initiateur iSCSI, un utilisateur local pourrait utiliser cela pour faire fuiter le contenu de la mémoire du noyau, pour provoquer un déni de service (corruption de mémoire du noyau ou plantage) et probablement pour une élévation des privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-28660";>CVE-2021-28660</a> <p>Il a été découvert que le pilote Wi-Fi rtl8188eu ne limitait pas correctement la longueur des SSID copiés dans les résultats d’analyse. Un attaquant dans la portée du Wi-Fi pourrait utiliser cela pour provoquer un déni de service (plantage ou corruption de mémoire) ou, éventuellement, exécuter du code sur le système vulnérable.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 4.19.181-1~deb9u1. De plus, cette mise à jour corrige le bogue n° 983595 et inclut plusieurs autres corrections de bogue à partir de mises à jour de la version stable 4.19.172–4.19.181 (inclus).</p> <p>Nous vous recommandons de mettre à jour vos paquets linux-4.19.</p> <p>Pour disposer d'un état détaillé sur la sécurité de linux-4.19, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/linux-4.19";>\ https://security-tracker.debian.org/tracker/linux-4.19</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2610.data" # $Id: $
