[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla-1{886-2,899,900,901}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Deux fichiers sont des copies de DSA.
Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="2c5797bf22ecb21c4f617026ec78b76f507e5125" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Nick Roessler et Rafi Rubin ont découvert que les analyseurs des protocoles
IMAP et ManageSieve dans le serveur de courrier électronique Dovecot ne
validaient pas correctement les entrées (à la fois avant et après connexion). Un
attaquant distant peut tirer avantage de ce défaut pour déclencher des écritures
de mémoire de tas hors limites, menant à des fuites d'informations ou
éventuellement à l'exécution de code arbitraire.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1:2.2.13-12~deb8u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets dovecot.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1901.data"
# $Id: $

#use wml::debian::translation-check translation="8e9e707e4372fb507841c6ea89cdabc72bef104a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans lâ??encodeur et décodeur
faad2 (Freeware Advanced Audio Coder).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19502";>CVE-2018-19502</a>

<p>Dépassement de tampon basé sur le tas dans la fonction excluded_channels
(libfaad/syntax.c). Cette vulnérabilité peut permettre à des attaquants distants
de provoquer un déni de service à lâ??aide de données contrefaites AAC MPEG.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20196";>CVE-2018-20196</a>

<p>Dépassement de tampon basé sur le tas dans la fonction calculate_gain
(libfaad/br_hfadj.c). Cette vulnérabilité peut permettre à des attaquants
distants de provoquer un déni de service ou tout autre impact non précisé à
lâ??aide de données contrefaites AAC MPEG.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20199";>CVE-2018-20199</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2018-20360";>CVE-2018-20360</a>

<p>Déréférencement de pointeur NULL dans la fonction the ifilter_bank
(libfaad/filtbank.c). Cette vulnérabilité peut permettre à des attaquants
distants de provoquer un déni de service à lâ??aide de données contrefaites AAC
MPEG.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-6956";>CVE-2019-6956</a>

<p>Dépassement global de tampon dans la fonction ps_mix_phase (libfaad/ps_dec.c).
Cette vulnérabilité peut permettre à des attaquants distants de provoquer un
déni de service ou tout autre impact non précisé à lâ??aide de données
contrefaites AAC MPEG.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15296";>CVE-2019-15296</a>

<p>Dépassement de tampon dans la fonction faad_resetbits (libfaad/bits.c). Cette
vulnérabilité peut permettre à des attaquants distants de provoquer un déni de
service à lâ??aide de données contrefaites AAC MPEG.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.7-8+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets faad2.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1899.data"
# $Id: $

#use wml::debian::translation-check translation="d328bc9ff3ff36821bdc03fe8ec8519234ef292c" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités de sécurité ont été trouvées dans le serveur Apache HTTP.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10092";>CVE-2019-10092</a>

<p>Matei <q>Mal</q> Badanoiu a signalé une vulnérabilité limitée de script
intersite dans la page d'erreur de mod_proxy.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10098";>CVE-2019-10098</a>

<p>Yukitsugu Sasaki a signalé une possible vulnérabilité de redirection
d'ouverture dans le module mod_rewrite.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.4.10-10+deb8u15.</p>
<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1900.data"
# $Id: $

#use wml::debian::translation-check translation="e1f2c2bb957cc4424b1f3e51c27e1fe9867f0118" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La dernière mise à jour de sécurité de openjdk-7 causait une régression
lorsque les applications reposaient sur les algorithmes utilisant les courbes
elliptiques pour établir les connexions SSL. Plusieurs classes dupliquées ont
été supprimées de rt.jar par les développeurs amont dâ??OpenJDK parce quâ??elles
étaient aussi présentes dans sunec.jar. Cependant, Debian nâ??embarquait pas le
fournisseur de sécurité SunEC dans OpenJDK 7.</p>

<p>La problème a été corrigé en construisant sunec.jar et sa bibliothèque
native correspondante libsunec.so à partir du source. Pour construire ces
bibliothèques à partir du source, une mise à niveau vers la
version 2:3.26-1+debu8u6 est nécessaire.</p>

<p>Les mises à jour pour lâ??architecture amd64 sont déjà disponibles, les
nouveaux paquets pour i386, armel et armhf seront disponibles sous 24 heures.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 7u231-2.6.19-1~deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openjdk-7.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1886-2.data"
# $Id: $
Reply to: