Bonjour,Cinq nouvelles annonces de sécurité viennent d'être publiée. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="c8bec78c8bd715b6b5debabee816cc982707088d" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans NTFS-3G, un pilote de lecture et écriture NTFS pour FUSE. Un utilisateur local peut tirer avantage de ces défauts pour une élévation locale de privilèges administrateur.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1:2016.2.22AR.1+dfsg-1+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets ntfs-3g.</p> <p>Pour disposer d'un état détaillé sur la sécurité de ntfs-3g, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/ntfs-3g";>\ https://security-tracker.debian.org/tracker/ntfs-3g</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow" href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2819.data" # $Id: $
#use wml::debian::translation-check translation="9eaf0a59f6574fa82d32395f0ef76401e7a82612" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts dans ffmpeg − outils pour transcoder, diffuser et lire des fichiers multimédia.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-20445";>CVE-2020-20445</a> <p>Problème de division par zéro au moyen de libavcodec/lpc.h. Cela permet à un utilisateur distant malveillant de provoquer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-20446";>CVE-2020-20446</a> <p>Problème de division par zéro au moyen de libavcodec/aacpsy.c. Cela permet à un utilisateur distant malveillant de provoquer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-20451";>CVE-2020-20451</a> <p>Problème de déni service due à des erreurs de gestion de ressources au moyen de fftools/cmdutils.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-20453";>CVE-2020-20453</a> <p>Problème de division par zéro au moyen de libavcodec/aaccoder. Cela permet à un utilisateur distant malveillant de provoquer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-22037";>CVE-2020-22037</a> <p>Vulnérabilité de déni de service due à une fuite de mémoire dans avcodec_alloc_context3 dans options.c</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-22041";>CVE-2020-22041</a> <p>Vulnérabilité de déni de service due à une fuite de mémoire dans la fonction av_buffersrc_add_frame_flags dans buffersrc.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-22044";>CVE-2020-22044</a> <p>Vulnérabilité de déni de service due à une fuite de mémoire dans la fonction url_open_dyn_buf_internal dans libavformat/aviobuf.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-22046";>CVE-2020-22046</a> <p>Vulnérabilité de déni de service due à une fuite de mémoire dans la fonction avpriv_float_dsp_allocl dans libavutil/float_dsp.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-22048";>CVE-2020-22048</a> <p>Vulnérabilité de déni de service due à une fuite de mémoire dans la fonction ff_frame_pool_get dans framepool.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-22049";>CVE-2020-22049</a> <p>Vulnérabilité de déni de service due à une fuite de mémoire dans la fonction wtvfile_open_sector dans wtvdec.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-22054";>CVE-2020-22054</a> <p>Vulnérabilité de déni de service due à une fuite de mémoire dans la fonction av_dict_set dans dict.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-38171";>CVE-2021-38171</a> <p>adts_decode_extradata dans libavformat/adtsenc.c ne vérifie pas la valeur de retour d'init_get_bits, ce qui est une étape nécessaire parce que le second paramètre d'init_get_bits peut être contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-38291";>CVE-2021-38291</a> <p>Un échec d'assertion a été détecté dans src/libavutil/mathematics.c, interrompant ffmpeg. Dans certains cas extrêmes, comme avec des échantillons adpcm_ms samples avec un nombre de canaux extrêmement élevé, get_audio_frame_duration() peut renvoyer une valeur négative de durée de trame.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 7:3.2.16-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets ffmpeg.</p> <p>Pour disposer d'un état détaillé sur la sécurité de ffmpeg, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/ffmpeg";>\ https://security-tracker.debian.org/tracker/ffmpeg</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2818.data" # $Id: $
#use wml::debian::translation-check translation="2fb9739a56f0cac474dcaa6a80a5ffc6d51fe9ec" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Jacob Champion a découvert deux vulnérabilités dans le système de base de données PostgreSQL, qui pourraient avoir pour conséquence des attaques de type homme du milieu.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 9.6.24-0+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets postgresql-9.6.</p> <p>Pour disposer d'un état détaillé sur la sécurité de postgresql-9.6, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/postgresql-9.6";>\ https://security-tracker.debian.org/tracker/postgresql-9.6</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2817.data" # $Id: $
#use wml::debian::translation-check translation="e8a53409d2db97e5b80677bfd214ef53f639b689" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans Salt, un puissant gestionnaire d'exécution à distance, qui permet une élévation locale de privilèges sur un client (« minion »), des attaques par injection de patron côté serveur, des vérifications insuffisantes pour des accréditations eauth, des injections d'interpréteur de commandes et de commandes ou une validation incorrecte de certificats SSL.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 2016.11.2+ds-1+deb9u7.</p> <p>Nous vous recommandons de mettre à jour vos paquets salt.</p> <p>Pour disposer d'un état détaillé sur la sécurité de salt, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/salt";>\ https://security-tracker.debian.org/tracker/salt</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow" href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2815.data" # $Id: $
#use wml::debian::translation-check translation="f0e093dffb43f60249f1141b3fdddc34b4d2c79f" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Icinga 2, une application généraliste de surveillance. Un attaquant pourrait récupérer des informations sensibles comme des mots de passe de service et des salages de ticket en interrogeant l'API web, ou en interceptant des connexions chiffrées insuffisamment contrôlées.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-32739";>CVE-2021-32739</a> <p>Il existe une vulnérabilité qui pourrait permettre une élévation de privilèges des utilisateurs authentifiés de l'API. Avec les accréditations en lecture seule des utilisateurs, un attaquant peut voir la plupart des attributs des objets de configuration y compris « ticket_salt » d'ApiListener. Ce salage est suffisant pour calculer un ticket pour chaque Nom Commun (CN) possible. Un ticket, le certificat maître du nœud et un certificat auto-signé sont suffisants pour demander avec succès le certificat désiré à Icinga. Ce certificat peut à son tour être utilisé pour dérober l'identité d'un point de terminaison ou d'un utilisateur de l'API. Consultez également les procédures manuels complémentaires <a href="https://icinga.com/blog/2021/07/15/releasing-icinga-2-12-5-and-2-11-10/#change-ticket-salt";>\ https://icinga.com/blog/2021/07/15/releasing-icinga-2-12-5-and-2-11-10/#change-ticket-salt</a> et <a href="https://icinga.com/blog/2021/07/15/releasing-icinga-2-12-5-and-2-11-10/#replace-icinga-ca";>\ https://icinga.com/blog/2021/07/15/releasing-icinga-2-12-5-and-2-11-10/#replace-icinga-ca</a>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-32743";>CVE-2021-32743</a> <p>Certaines des fonctionnalités d'Icinga 2 qui ont besoin d'accréditations pour des services externes exposent leurs accréditations à travers l'API pour authentifier les utilisateurs de l'API avec des droits de lecture pour les types d'objet correspondants. IdoMysqlConnection et IdoPgsqlConnection exposent le mot de passe de l'utilisateur utilisé pour se connecter à la base de données. Un attaquant qui obtient ces accréditations peut usurper l'identité d'Icinga pour ces services et y ajouter, modifier et supprimer des informations. Si des accréditations dotées de plus de permissions sont utilisées, cela accroît l'impact en conséquence.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2021-37698";>CVE-2021-37698</a> <p>InfluxdbWriter et Influxdb2Writer ne vérifiaient pas le certificat du serveur bien qu'une autorité de certification ait été spécifiée. Les instances d'Icinga 2 qui se connectent à n'importe laquelle des bases de données de séries chronologiques (TSDB) en servant de TLS sur une infrastructure qui peut être usurpée, devraient immédiatement être mises à niveau. Ces instances aussi modifier les accréditations (si elles existent) utilisées par la fonction d'écriture de TSDB s'authentifier à la TSDB.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 2.6.0-2+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets icinga2.</p> <p>Pour disposer d'un état détaillé sur la sécurité de icinga2, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/icinga2";>\ https://security-tracker.debian.org/tracker/icinga2</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2816.data" # $Id: $
Attachment:
OpenPGP_signature
Description: OpenPGP digital signature