[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla16{62,63,64,65,66}.wml



Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul
#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il était possible de contourner la validation isComplete de la négociation
 SASL dans libthrift-java, une prise en charge du langage Java pour le cadriciel
Thrift dâ??Apache. Une assertion utilisée pour déterminer si une initialisation de
connexion SASL sâ??est terminée avec succès pourrait être désactivée dans les
réglages de production, rendant la validation inachevée.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 0.9.1-2+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libthrift-java.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1662.data"
# $Id: $
#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette DLA corrige un problème dans lâ??analyse de certificats x509, un
 dépassement d'entier de pickle et quelques problèmes mineurs :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0772";>CVE-2016-0772</a>

<p>La bibliothèque smtplib dans CPython ne renvoie pas une erreur quand StartTLS
échoue. Cela pourrait permettre à des attaquants de type « homme du milieu » de
contourner les protections TLS en exploitant une position de réseau entre le
client et le registre pour bloquer la commande StartTLS, autrement dit, une
« StartTLS stripping attack ».</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5636";>CVE-2016-5636</a>

<p>Un dépassement dâ??entier dans la fonction get_data de zipimport.c dans CPython
permet à des attaquants distants dâ??avoir un impact non précisé à l'aide d'une
taille de données négative, déclenchant un dépassement de tas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5699";>CVE-2016-5699</a>

<p>Une vulnérabilité dâ??injection CRLF dans la fonction HTTPConnection.putheader
dâ??urllib2 et urllib dans CPython permet à des attaquants distants dâ??injecter des
en-têtes arbitraires HTTP à lâ??aide de séquences CRLF dans un URL.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20406";>CVE-2018-20406</a>

<p>Modules/_pickle.c possède un dépassement d'entier à l'aide d'un grande valeur
LONG_BINPUT mal gérée lors dâ??un essai <q>resize to twice the size</q>. Ce
problème peut causer un épuisement de mémoire, mais nâ??est existant que si le
format de pickle est utilisé pour sérialiser des dizaines ou des centaines de
gigaoctets de données.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-5010";>CVE-2019-5010</a>

<p>Un déréférencement de pointeur NULL en utilisant un certificat X509
 contrefait pour l'occasion X509.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.4.2-1+deb8u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python3.4.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1663.data"
# $Id: $
#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p> Une vulnérabilité de déni de service existait et même éventuellement la
possibilité de conduire des attaques de récupération de clefs privées dans le
traitement de chiffrement par courbes elliptiques dans les bibliothèques du
langage de programmation Go.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la
version 2:1.3.3-1+deb8u1 de golang.</p>

<p>Nous vous recommandons de mettre à jour vos paquets golang.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1664.data"
# $Id: $
#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un dépassement de tampon a été découvert dans netmask qui pourrait planter
lorsque appelé avec des entrées arbitraires longues.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 2.3.12+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets netmask.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1665.data"
# $Id: $
#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Pour la version FreeRDP dans Debian Jessie LTS, une mise à jour de sécurité et
de fonctionnalité a été récemment fournie. FreeRDP est une réimplémentation du
protocole RDP de Microsoft (server et client) avec freerdp-x11 comme client
RDP le plus courant de nos jours.</p>

<p>Améliorations fonctionnelles :</p>

 <p>Avec lâ??aide de lâ??amont de FreeRDP (grand merci à Bernhard Miklautz et
 Martin Fleisz) nous sommes heureux dâ??annoncer que les prises en charge du
 protocole version 6 de RDP et de CredSSP version 3 ont été rétroportées dans
 la vieille branche FreeRDP 1.1.</p>

 <p>Depuis le deuxième trimestre de 2018, les serveurs et clients de Microsoft
 Windows reçoivent une mise à jour par défaut pour leur serveur RDP vers le
 protocole version 6. Depuis cette modification, il nâ??était plus possible de se
 connecter à des machines MS Windows mises à jour récemment en utilisant la
 vielle branche FreeRDP 1.1 comme trouvée dans Debian Jessie LTS et Debian
 Stretch.</p>

 <p>Avec le dernier téléversement de FreeRDP vers Debian Jessie LTS, se connecter
 à des machines MS Windows mises à jour est de nouveau possible.</p>

<p>Problèmes de sécurité :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8786";>CVE-2018-8786</a>

 <p>FreeRDP contient une troncature dâ??entier conduisant à un dépassement
 de tampon basé sur le tas dans la fonction update_read_bitmap_update() et
 aboutissant à une corruption de mémoire et probablement même à une exécution de
 code à distance.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8787";>CVE-2018-8787</a>

 <p>FreeRDP contient un dépassement d'entier conduisant à dépassement de tampon
 basé sur le tas dans la fonction gdi_Bitmap_Decompress() et aboutissant à une
 corruption de mémoire et probablement même à une exécution de code à distance.
 </p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8788";>CVE-2018-8788</a>

 <p>FreeRDP contient une écriture hors limites de un à quatre octets dans la
 fonction nsc_rle_decode() aboutissant à une corruption de mémoire et
 éventuellement dans une exécution de code à distance.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8789";>CVE-2018-8789</a>

 <p>FreeRDP contient plusieurs lectures hors limites dans le module
 dâ??authentification NTLM aboutissant à un déni de service (segfault).</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes de sécurité ont été corrigés dans
la version 1.1.0~git20140921.1.440916e+dfsg1-13~deb8u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets freerdp.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
 version 1.1.0~git20140921.1.440916e+dfsg1-13~deb8u3 de freerdp.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1666.data"
# $Id: $

Reply to: