[RFR] wml://lts/security/2014/dla-000{1,2,3,4,5,6,7,8,9}.wml

To: Debian-l10n French <debian-l10n-french@lists.debian.org>
Subject: [RFR] wml://lts/security/2014/dla-000{1,2,3,4,5,6,7,8,9}.wml
From: Jean-Pierre Giraud <jenapierregiraud75@free.fr>
Date: Sun, 15 Dec 2019 00:11:29 +0100
Message-id: <[🔎] b3fabbe2-2ffa-de69-0109-43ee35399849@free.fr>

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sontt ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2014/dla-000xxxxx.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="e8b4ba2d9d257884d4eea716675c2e25ef4f652c" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Joonas Kuorilehto a découvert que GNU TLS réalisait une validation
insuffisante des identifiants de session lors de l'établissement de
connexions TLS/SSL. Un serveur malveillant pourrait utiliser cela pour
exécuter du code arbitraire ou réaliser un déni de service.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2.8.6-1+squeeze4 de gnutls26.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0001.data"
# $Id: $

#use wml::debian::translation-check translation="b42e248a945fd086cf3f056d737978948d9c4046" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Thomas Stangner a découvert une vulnérabilité dans chkrootkit, un
détecteur de rootkit, qui peut permettre à des attaquants locaux d'accéder
aux droits administrateurs quand /tmp est monté sans l'option noexec.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 0.49-4+deb6u1 dans chkrootkit.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0002.data"
# $Id: $

#use wml::debian::translation-check translation="0489e1b952f47155cfd52286f4b52319011dbc06" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0195";>CVE-2014-0195</a>

<p>Jueri Aedla a découvert qu'un dépassement de tampon dans le traitement
des fragments DTLS pourrait conduire à l'exécution de code arbitraire ou à
un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0221";>CVE-2014-0221</a>

<p>Imre Rad a découvert que le traitement de paquets hello DTLS était
vulnérable à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0224";>CVE-2014-0224</a>

<p>KIKUCHI Masashi a découvert que des négociations de connexion
soigneusement contrefaites pouvaient obliger à l'utilisation de clés
faibles, résultant dans de potentielles attaques du type « homme du
milieu ».</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3470";>CVE-2014-3470</a>

<p>Felix Groebert et Ivan Fratric ont découvert que l'implémentation des
suites de chiffrement ECDH anonymes est vulnérable à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0076";>CVE-2014-0076</a>

<p>Correctif pour l'attaque décrite dans l'article « Recovering
 OpenSSL ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack »
rapportée par Yuval Yarom et Naomi Benger.</p></li>

</ul>

<p>Des informations supplémentaires peuvent être trouvées à l'adresse
<a href="http://www.openssl.org/news/secadv_20140605.txt";>\
http://www.openssl.org/news/secadv_20140605.txt</a>.</p>

<p>Toutes les applications liées à openssl doivent être redémarrées. Vous
pouvez utiliser l'outil checkrestart du paquet debian-goodies pour détecter
les programmes affectés ou redémarrer votre système.</p>

<p>Il est important de mettre à niveau le paquet libssl0.9.8 et pas
uniquement le paquet openssl.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 0.9.8o-4squeeze15 d'openssl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0003.data"
# $Id: $

#use wml::debian::translation-check translation="82d2d478335d4a3d361ba6940ff8e42c1de3f5f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le serveur de courrier électronique Dovecot est vulnérable à une attaque
par déni de service à l'encontre des processus imap-login et pop3-login due
à un traitement incorrect de la fermeture de connexions SSL/TLS inactives.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 1:1.2.15-7+deb6u1 de dovecot.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0004.data"
# $Id: $

#use wml::debian::translation-check translation="e76e9a7d15849251c4d36efca791457c3961e3e5" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Jakub Wilk a découvert qu'APT, le gestionnaire de paquet de haut niveau,
ne réalisait pas correctement les vérifications d'authentification pour les
paquets source téléchargés par la commande « apt-get source ». Ce problème
n'affecte que les cas où les paquets source sont téléchargés avec cette
commande ; il n'affecte pas l'installation et la mise à niveau normale des
paquets Debian.
(<a href="https://security-tracker.debian.org/tracker/CVE-2014-0478";>CVE-2014-0478</a>)</p>

<p>APT gérait incorrectement l'option de configuration Verify-Host.Si un
attaquant distant était capable de réaliser une attaque de type « homme du
milieu », ce défaut pourrait éventuellement être utilisé pour voler
l'identité du dépôt. Cela ne concerne que les systèmes qui utilisent les
sources d'APT pour des connexions https (cela nécessite que le paquet
apt-transport-https est installé).
(<a href="https://security-tracker.debian.org/tracker/CVE-2011-3634";>CVE-2011-3634</a>)</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 0.8.10.3+squeeze2 d'apt.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0005.data"
# $Id: $

#use wml::debian::translation-check translation="58142fc116b362ebae88cb0343ec365000d2e508" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La fonction « scheme48-send-definition » dans cmuscheme48.el écrase
aveuglement le fichier /tmp/s48lose.tmp avant de l'envoyer au processus
inférieur de scheme.</p>

<p>Cette action écrasera aveuglement les fichiers que l'utilisateur a le
droit de modifier, entraînant une perte de données.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 1.8+dfsg-1+deb6u1 de scheme48.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0006.data"
# $Id: $

#use wml::debian::translation-check translation="0489e1b952f47155cfd52286f4b52319011dbc06" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3153";>CVE-2014-3153</a>:

<p>Pinkie Pie a découvert un problème dans le sous-système futex qui permet
à un utilisateur local d'obtenir le contrôle de l'anneau 0 grâce à l'appel
système futex. Un utilisateur normal pourrait utiliser ce défaut pour
planter le noyau (avec comme résultat un déni de service) ou pour une
élévation de privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1438";>CVE-2014-1438</a>:

<p>La fonction restore_fpu_checking de arch/x86/include/asm/fpu-internal.h
dans le noyau Linux antérieur à 3.12.8 sur les plateformes AMD K7 et K8 ne
nettoyait pas les exceptions en attente avant de réaliser une instruction
EMMS. Cela permet à des utilisateurs locaux de provoquer un déni de service
(tâche tuée) ou éventuellement obtenir des privilèges à l'aide d'une
application contrefaite.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2.6.32-48squeeze7 de linux-2.6.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0007.data"
# $Id: $

#use wml::debian::translation-check translation="0489e1b952f47155cfd52286f4b52319011dbc06" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0224";>CVE-2014-0224</a>

<p>Cette mise à jour applique le correctif amont pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2014-0224";>CVE-2014-0224</a>
pour traiter les problèmes avec une renégociation sous certaines conditions.</p>

<p>Texte original :
KIKUCHI Masashi a découvert que des négociations de connexion
soigneusement contrefaites pouvaient obliger à l'utilisation de clés
faibles, résultant dans de potentielles attaques du type « homme du
milieu ».</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4929";>CVE-2012-4929</a>

<p>La compression ZLIB est maintenant désactivée par défaut. Si vous avez
besoin de la réactiver pour raison quelconque, vous pouvez affecter la
variable d'environnement OPENSSL_NO_DEFAULT_ZLIB.</p></li>

</ul>

<p>Il est important de mettre à niveau le paquet libssl0.9.8 et pas
uniquement le paquet openssl.</p>

<p>Toutes les applications liées à openssl doivent être redémarrées. Vous
pouvez utiliser l'outil checkrestart du paquet debian-goodies pour détecter
les programmes affectés ou redémarrer votre système.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 0.9.8o-4squeeze16 d'openssl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0008.data"
# $Id: $

#use wml::debian::translation-check translation="32e6088e049a0b2aa393d63c650b6db21fd6214e" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La fonction clean_html() de lxml (liaisons Python pour les bibliothèques
libxml2 et libxslt) réalise une vérification insuffisante de certains
caractères non imprimables. Cela pourrait conduire à un problème de script
intersite.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2.2.8-2+deb6u1 de lxml.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0009.data"
# $Id: $

Reply to:

Follow-Ups:
- Re: [RFR] wml://lts/security/2014/dla-000{1,2,3,4,5,6,7,8,9}.wml
  - From: JP Guillonneau <guillonneau.jeanpaul@free.fr>

Prev by Date: [LCFC] wml://vote/2019/vote_002.wml
Next by Date: [RFR] wml://lts/security/2014/dla-001{0,1,2,3,4,5}.wml
Previous by thread: [DONE] wml://devel/join/newmaint.wml
Next by thread: Re: [RFR] wml://lts/security/2014/dla-000{1,2,3,4,5,6,7,8,9}.wml
Index(es):
- Date
- Thread