[LCFC2] wml://lts/security/2019/dla16{67,68,69,70,71}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

le mercredi 27 février 11:05, Jean-Pierre Giraud a écrit :

>Quelques détails et préférences personnelles.
>Une partie des DLA sont semblables à des DSA déjà traduites :
>dla-1670 = dsa-4322
>dla-1671 = dsa-4373
Merci, corrections appliquées.
Autre dernière chance de commentaire.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="2c91f9f0e63a99464dda2301a062e96365ab008a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tavis Ormandy a découvert une vulnérabilité dans Ghostscript, lâ??interpréteur
GPL pour PostScript/PDF. Cela pourrait avoir pour conséquence un déni de service ou
l'exécution de code arbitraire si un fichier Postscript mal formé est traité
(malgré lâ??activation de l'option -dSAFER du bac à  sable).</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 9.26a~dfsg-0+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ghostscript.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1670.data"
# $Id: $

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans coTURN, un serveur TURN et
STUN pour VoIP.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4056";>CVE-2018-4056</a>

<p>Une vulnérabilité dâ??injection SQL a été découverte dans le portail web
dâ??administration de coTURN. Comme lâ??interface web dâ??administration est partagée
avec la production, il nâ??est malheureusement pas possible de filtrer aisément
les accès extérieurs et cette mise à jour de sécurité désactive complètement
lâ??interface web. Les utilisateurs devraient utiliser à  la place lâ??interface
locale en ligne de commande.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4058";>CVE-2018-4058</a>

<p>La configuration par défaut autorise une redirection de boucle locale non
sécurisée. Un attaquant distant ayant accès à  lâ??interface TURN peut utiliser
cette vulnérabilité pour obtenir lâ??accès à  des services qui ne devraient être
que locaux.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4059";>CVE-2018-4059</a>

<p>La configuration par défaut utilise un mot de passe vide pour lâ??interface
dâ??administration locale en ligne de commande. Un attaquant avec accès à  la
console locale (soit un attaquant local, soit un attaquant distant tirant parti de
<a href="https://security-tracker.debian.org/tracker/CVE-2018-4058";>CVE-2018-4058</a>)
pourrait augmenter ses droits à  ceux de lâ??administrateur de serveur coTURN.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4.2.1.2-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets coturn.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1671.data"
# $Id: $