[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2020/dla-{1931,2053,2056}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="9d8f695fa53faa431768a3453813ed28b2de9da9" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de régression pour LTS</define-tag>
<define-tag moreinfo>

<p>Le correctif pour lâ??attaque temporelle ECDSA dans la bibliothèque de
chiffrement <tt>libgcrypt20</tt> était incomplet.</p>

<p>Merci à Albert Chin-A-Young &lt;china@thewrittenword.com&gt; pour le
signalement.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-13627";>CVE-2019-13627</a>

<p>Il existait une attaque temporelle ECDSA dans la bibliothèque de chiffrement
libgcrypt20.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.6.3-2+deb8u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libgcrypt20.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-1931.data"
# $Id: $

#use wml::debian::translation-check translation="b0a5c59185a4d21906ee3882d8c9004e25c7b13d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Le texte de la DLA est dans la référence.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 3.3.18-1+deb8u12.</p>

<p>Nous vous recommandons de mettre à jour vos paquets otrs2.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2053.data"
# $Id: $

#use wml::debian::translation-check translation="8e8d2afbd226569371372239ff102b8c50b12f4e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il existait une vulnérabilité de dissimulation de requête HTTP dans waitress,
un serveur WSGI entièrement en Python.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-16789";>CVE-2019-16789</a>

<p>Dans waitress jusquâ??à la version 1.4.0, si un serveur mandataire est utilisé
devant waitress, une requête non valable peut être envoyée par un attaquant,
contournant le frontal, et qui est analysée différemment par waitress,
conduisant à une dissimulation potentielle de requête HTTP. Des requêtes
spécialement contrefaites contenant des caractères dâ??espace particuliers dans
lâ??en-tête Transfer-Encoding seront analysées par Waitress comme étant une
requête « chunked », mais un serveur frontal utilisera lâ??en-tête
Content-Length au lieu de Transfer-Encoding considéré comme non valable car
contenant des caractères non valables. Si un serveur frontal réalise un
pipeline HTTP vers un serveur dorsal waitress, cela pourrait conduire à un
découpage de requête HTTP aboutissant à un empoisonnement potentiel du cache
ou à une divulgation d'informations inattendues. Ce problème est corrigé dans
waitress 1.4.1 à lâ??aide dâ??une validation plus stricte des champs HTTP.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 0.8.9-2+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets waitress.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2056.data"
# $Id: $
Reply to: