[RFR] wml://lts/security/2019/dla16{67,68,69,70,71}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p> Une vulnérabilité existait dans le serveur IMAP/POP3 dovecot.</p>

<p>Un défaut dans le traitement du nom dâ??utilisateur TLS pourrait
conduire un attaquant à  se connecter comme nâ??importe qui dans le système si à 
la fois auth_ssl_{require_client,username_from}_cert étaient activés.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la
version 1:2.2.13-12~deb8u5 de dovecot.</p>

<p>Nous vous recommandons de mettre à jour vos paquets dovecot.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1667.data"
# $Id: $

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Fuzzing a trouvé deux problèmes supplémentaires spécifiques au format de
fichier dans libarchive, une erreur de segmentation en lecture seule dans 7z et
une boucle infinie dans ISO9660.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-1000019";>CVE-2019-1000019</a>

<p>Vulnérabilité de lecture hors limites dans la décompression 7zip, pouvant
provoquer un plantage (déni de service, CWE-125).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-1000020";>CVE-2019-1000020</a>

<p>Vulnérabilité dans lâ??analyseur ISO9660 pouvant provoquer un déni de service
par boucle infinie (CWE-835).</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.1.2-11+deb8u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libarchive.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1668.data"
# $Id: $

#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Alex Infuehr a découvert une vulnérabilité de traversée de répertoires qui
pourrait permettre lâ??exécution du code dâ??un script en Python lors de lâ??ouverture
dâ??un document malformé.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1:4.3.3-2+deb8u12.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libreoffice.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1669.data"
# $Id: $

#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tavis Ormandy a découvert une vulnérabilité dans Ghostscript, lâ??interpréteur
GPL pour PostScript/PDF. Cela pourrait permettre un déni de service ou
l'exécution de code arbitraire si un fichier Postscript mal formé est traité
(malgré lâ??activation -dSAFER du bac à  sable).</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 9.26a~dfsg-0+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ghostscript.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1670.data"
# $Id: $

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans coTURN, un serveur TURN et
STUN pour VoIP.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4056";>CVE-2018-4056</a>

<p>Une vulnérabilité dâ??injection SQL a été découverte dans le portail web de
lâ??administrateur de coTURN. Comme lâ??interface web dâ??administration est partagée
avec la production, il nâ??est malheureusement pas possible de filtrer aisément
les accès extérieurs et cette mise à jour de sécurité désactive complètement
lâ??interface web. Les utilisateurs devraient utiliser à  la place lâ??interface en
ligne de commande.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4058";>CVE-2018-4058</a>

<p>La configuration par défaut autorise la retransmission non sécurisée sur
boucle locale. Un attaquant distant ayant accès à  lâ??interface TURN peut utiliser
cette vulnérabilité pour obtenir lâ??accès à  des services qui ne devraient être
que locaux.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4059";>CVE-2018-4059</a>

<p>La configuration par défaut utilise un mot de passe vide pour lâ??interface
dâ??administration locale en ligne de commande. Un attaquant avec accès à  la
console locale (soit un attaquant local ou un attaquant distant tirant parti de
<a href="https://security-tracker.debian.org/tracker/CVE-2018-4058";>CVE-2018-4058</a>)
pourrait augmenter ses privilèges à  ceux de lâ??administrateur de serveur coTURN.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4.2.1.2-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets coturn.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1671.data"
# $Id: $