[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2021/dla-2786.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="36df778cd565c0b0740a8e172a015c42ff1ee212" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux problèmes de sécurité ont été découverts dans nghttp2 : un serveur,
mandataire et client mettant en œuvre HTTP/2.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000168";>CVE-2018-1000168</a>

<p>Une vulnérabilité CWE-20 de validation incorrecte d’entrée a été trouvée
dans le traitement de trame ALTSVC, qui pourrait aboutir dans une erreur de
segmentation conduisant à un déni de service. Cette attaque paraît exploitable
à l’aide d’un client réseau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11080";>CVE-2020-11080</a>

<p>Une charge excessivement large de trame HTTP/2 SETTINGS provoque un déni
de service. La preuve du concept de l’attaque fait appel à un client
malveillant construisant une trame SETTINGS avec une longueur de 14 400 octets
(2 400 entrées de réglage individuelles) encore et encore. Cette attaque
conduit à ce le CPU fasse un pic à 100 %.</p></li>

</ul>

<p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
la version 1.18.1-1+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nghttp2.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de nghttp2,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/nghttp2";>\
https://security-tracker.debian.org/tracker/nghttp2</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2786.data"
# $Id: $
Reply to: