[LCFC3] wml://lts/security/2019/dla16{62,63,64,65,66}.wml
Bonjour,
le dimanche 03 mars 10:57, Jean-Pierre Giraud a écrit :
>Deux détails dans dla-1663. Ras pour les autres.
dernière chance de commentaire.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette DLA corrige un problème dans lâ??analyse de certificats x509, un
dépassement d'entier de pickle et quelques problèmes mineurs :</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0772">CVE-2016-0772</a>
<p>La bibliothèque smtplib dans CPython ne renvoie pas une erreur quand StartTLS
échoue. Cela pourrait permettre à des attaquants de type « homme du milieu » de
contourner les protections TLS en exploitant une position de réseau entre le
client et le registre pour bloquer la commande StartTLS, autrement dit, une
« StartTLS stripping attack ».</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5636">CVE-2016-5636</a>
<p>Un dépassement dâ??entier dans la fonction get_data de zipimport.c dans CPython
permet à des attaquants distants dâ??avoir un impact non précisé à l'aide d'une
taille de données négative, déclenchant un dépassement de tas.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5699">CVE-2016-5699</a>
<p>Une vulnérabilité dâ??injection CRLF dans la fonction HTTPConnection.putheader
dâ??urllib2 et urllib dans CPython permet à des attaquants distants dâ??injecter des
en-têtes arbitraires HTTP à lâ??aide de séquences CRLF dans un URL.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20406">CVE-2018-20406</a>
<p>Modules/_pickle.c possède un dépassement d'entier à l'aide d'une grande valeur
LONG_BINPUT mal gérée lors dâ??un essai <q>resize to twice the size</q>. Ce
problème peut causer un épuisement de mémoire, mais nâ??existe que si le
format de pickle est utilisé pour sérialiser des dizaines ou des centaines de
gigaoctets de données.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-5010">CVE-2019-5010</a>
<p>Un déréférencement de pointeur NULL en utilisant un certificat X509
contrefait pour l'occasion X509.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.4.2-1+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python3.4.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1663.data"
# $Id: $
Reply to:
- References:
- [LCFC] wml://lts/security/2019/dla16{62,63,64,65,66}.wml
- From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
- [LCFC2] wml://lts/security/2019/dla16{62,63,64,65,66}.wml
- From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
- Re: [LCFC2] wml://lts/security/2019/dla16{62,63,64,65,66}.wml
- From: Jean-Pierre Giraud <jenapierregiraud75@free.fr>
- Prev by Date:
[LCFC] wml://lts/security/2019/dla16{38-41,86}.wml
- Next by Date:
[LCFC2] wml://lts/security/2019/dla16{52,53,54,55,56}.wml
- Previous by thread:
Re: [LCFC2] wml://lts/security/2019/dla16{62,63,64,65,66}.wml
- Next by thread:
[DONE] wml://lts/security/2019/dla16{62,63,64,65,66}.wml
- Index(es):