[RFR] wml://lts/security/2021/dla-27{69,70,71,72}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="c93bb9ffbb78f1b85b6f29d2686cbbd40e15ab28" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été corrigés dans TagLib, une bibliothèque pour
lire et éditer des métadonnées audio.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12678";>CVE-2017-12678</a>

<p>Un fichier audio contrefait pourrait aboutir à un plantage.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-11439";>CVE-2018-11439</a>

<p>Un fichier audio contrefait pourrait aboutir à une divulgation
d'informations.</p></li>

<li><p>De plus, un bogue pouvant conduire à une corruption des fichiers ogg
a été corrigé.</p></li>

</ul>

<p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
la version 1.11.1+dfsg.1-0.3+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets taglib.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de taglib,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/taglib";>\
https://security-tracker.debian.org/tracker/taglib</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2772.data"
# $Id: $

#use wml::debian::translation-check translation="ae3bfd6ac864c10153356a4a7aeadb3684ccd896" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été corrigées dans Kerberos du MIT, un système
pour authentifier les utilisateurs et les services dans un réseau.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5729";>CVE-2018-5729</a>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5730";>CVE-2018-5730</a>

<p>Correction de défauts dans la vérification du DN de LDAP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20217";>CVE-2018-20217</a>

<p>Ignorer les attributs de mot de passe pour les requêtes S4U2Self.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-37750";>CVE-2021-37750</a>


<p>Correction de déréférencement de pointeur NULL dans KDC dû à l’envoi
de requête FAST TGS sans champ de serveur.</p></li>

</ul>

<p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
la version 1.15-1+deb9u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets krb5.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de krb5,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/krb5";>\
https://security-tracker.debian.org/tracker/krb5</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2771.data"
# $Id: $

#use wml::debian::translation-check translation="a09938ead753e05f933fb0e40e96820d71fa8e73" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été corrigées dans le client de clavardage
WeeChat.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8955";>CVE-2020-8955</a>

<p>Un message irc 324 contrefait (mode canal) pourrait aboutir à un plantage.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9759";>CVE-2020-9759</a>

<p>Un message irc 352 contrefait (qui) pourrait aboutir à un plantage.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9760";>CVE-2020-9760</a>

<p>Un message irc 005 contrefait (définition d’un nouveau mode pour un pseudo)
pourrait aboutir à un plantage.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-40516";>CVE-2021-40516</a>

<p>Une trame WebSocket contrefaite pourrait aboutir à un plantage dans le
greffon Relay.</p></li>

</ul>

<p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
la version 1.6-1+deb9u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets weechat.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de weechat,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/weechat";>\
https://security-tracker.debian.org/tracker/weechat</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2770.data"
# $Id: $

#use wml::debian::translation-check translation="88c3c8bab6cbc33888db63df198260d0689261de" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans XStream, une
bibliothèque Java pour sérialiser des objets en XML et les désérialiser.</p>

<p>Ces vulnérabilités peuvent permettre à un attaquant distant de charger et
exécuter du code arbitraire d’un hôte distant simplement en manipulant le flux
d’entrée traité.</p>

<p>XStream définit désormais une liste blanche par défaut, c’est-à-dire que
toutes les classes sont bloquées sauf les types pour lesquels des convertisseurs
sont explicitement déclarés. Habituellement une liste noire par défaut existait,
c’est-à-dire que toutes les classes critiques actuellement connues de
l’environnement d’exécution de Java étaient bloquées. La principale raison de
la liste noire était la compatibilité qui permettait d’utiliser les nouvelles
versions d’XStream comme substitution. Toutefois, cette approche a échoué.
Une liste grandissante de rapports de sécurité a démontré qu’une liste noire
est intrinsèquement peu sûre, sans tenir compte du fait que les types de
bibliothèques tierces n’étaient même pas envisagés. Un scénario de liste noire
doit être évité car il procure un faux sentiment de sécurité.</p>

<p>Consultez aussi <a rel="nofollow" href="https://x-stream.github.io/security.html#framework";>https://x-stream.github.io/security.html#framework</a>.</p>

<p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
la version 1.4.11.1-1+deb9u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxstream-java.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de libxstream-java,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/libxstream-java";>\
https://security-tracker.debian.org/tracker/libxstream-java</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2769.data"
# $Id: $