Bonjour, voici la traduction d’une nouvelle page de sécurité.
Merci d’avance pour vos relectures et commentaires. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="d2635590fceb5ba94b19f19cf1a68d3bfef7aa7e" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans golang-go.crypto, les bibliothèques Go supplémentaires de chiffrement.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11840";>CVE-2019-11840</a> <p>Un problème a été découvert dans les bibliothèques Go supplémentaires de chiffrement, c’est-à-dire golang-googlecode-go-crypto. Si plus de 256Gio de flux de clé (keystream) était généré ou autrement si le compteur dépassait 32 bits, l’implémentation de amd64 générait une sortie incorrecte et revenait au flux de clé précédent. Des octets de flux de clé répétés pouvait conduire à une perte de confidentialité dans les applications chiffrées ou à une prédictibilité dans les applications CSPRNG.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11841";>CVE-2019-11841</a> <p>Une problème de contrefaçon de message a été découvert dans crypto/openpgp/clearsign/clearsign.go dans les bibliothèques Go supplémentaires. L’en-tête Armor <q>Hash</q> spécifie les algorithmes de hachage cryptographique utilisés pour la signature. Puisque la bibliothèque omettait l’analyse de l’en-tête Armor en général, un attaquant pouvait non seulement intégrer des en-têtes Armor arbitraires, mais aussi préfixer du texte arbitraire aux messages en clair sans invalidation des signatures.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9283";>CVE-2020-9283</a> <p>golang.org/x/crypto permettait une <q>panic</q> durant la vérification de signature dans le paquet golang.org/x/crypto/ssh. Un client pouvait attaquer un serveur SSH qui acceptait les clés publiques. Un serveur pouvait aussi attaquer n’importe quel client SSH.</p> <p>Les paquets Go suivants ont été reconstruits afin de résoudre les problèmes mentionnés ci-dessus..</p> <p>rclone: 1.45-3+deb10u1, obfs4proxy: 0.0.7-4+deb10u1, gobuster: 2.0.1-1+deb10u1, restic: 0.9.4+ds-2+deb10u1, gopass: 1.2.0-2+deb10u1, aptly: 1.3.0+ds1-2.2~deb10u2, dnscrypt-proxy: 2.0.19+ds1-2+deb10u1, g10k: 0.5.7-1+deb10u1, hub: 2.7.0~ds1-1+deb10u1, acmetool: 0.0.62-3+deb10u1, syncthing: 1.0.0~ds1-1+deb10u1, packer: 1.3.4+dfsg-4+deb10u1, etcd: 3.2.26+dfsg-3+deb10u1, notary: 0.6.1~ds1-3+deb10u1.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 1:0.0~git20181203.505ab14-1+deb10u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets golang-go.crypto.</p> <p>Pour disposer d'un état détaillé sur la sécurité de golang-go.crypto, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/golang-go.crypto";>\ https://security-tracker.debian.org/tracker/golang-go.crypto</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3455.data" # $Id: $
