[RFR3] wml://lts/security/2018/dla-150{0..9}.wml
Bonjour,
le mardi 12 mars 16:06, Baptiste Jammet a écrit :
>Quelques détails.
Merci, intégré.
autre chance de commentaire.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSH, une implémentation
libre de la suite de protocole SSH.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5352";>CVE-2015-5352</a>
<p>OpenSSH vérifiait incorrectement la date limite dâ??écrans pour des
connexions X. Des attaquants distants pourraient exploiter ce défaut pour
contourner les restrictions dâ??accès voulues. Signalé par Jann Horn.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5600";>CVE-2015-5600</a>
<p>OpenSSH restreignait improprement le traitement de périphériques interactifs
avec le clavier lors dâ??une connexion unique. Cela pourrait permettre à des
attaquants distants de réaliser des attaques par force brute ou causer un déni
de service dans une configuration personnalisée.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6563";>CVE-2015-6563</a>
<p>OpenSSH gérait incorrectement les noms dâ??utilisateur lors de
lâ??authentification PAM. En conjonction avec un autre défaut dans le processus
fils sans droits dâ??OpenSSH, des attaquants distants pourraient utiliser ce
problème pour réaliser une usurpation dâ??utilisateur. Découvert par Moritz
Jodeit.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6564";>CVE-2015-6564</a>
<p>Moritz Jodeit a découvert un défaut dâ??utilisation de mémoire après libération
dans la prise en charge de PAM dans OpenSSH. Cela pourrait être utilisé par des
attaquants distants pour contourner lâ??authentification ou, éventuellement,
exécuter du code arbitraire.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1908";>CVE-2016-1908</a>
<p>OpenSSH gérait incorrectement les redirections X11 non authentifiées lorsquâ??un
serveur X désactivait lâ??extension SECURITY. Des connexions non authentifiées
pourraient obtenir les droits de redirection X11 authentifiée. Signalé par
Thomas Hoger.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3115";>CVE-2016-3115</a>
<p>OpenSSH gérait improprement les données de redirection X11 relatives aux
identifiants. Des utilisateurs distants authentifiés pourraient utiliser ce
défaut pour contourner les restrictions de commandes dâ??interpréteur voulues.
Découvert par github.com/tintinweb.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6515";>CVE-2016-6515</a>
<p>OpenSSH ne limitait par la longueur des mots de passe lors de
lâ??authentification. Des attaquants distants pourraient utiliser ce défaut pour
provoquer un déni de service à lâ??aide de longues chaînes.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10009";>CVE-2016-10009</a>
<p>Jann Horn a découvert une vulnérabilité de chemin de recherche non fiable
dans ssh-agent permettant à des attaquants distants dâ??exécuter des modules
PKCS#11 locaux arbitraires en exploitant le contrôle sur une socket dâ??agent
redirigée.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10011";>CVE-2016-10011</a>
<p>Jann Horn a découvert que OpenSSH nâ??examinait pas correctement les effets de
réallocation de contenu de tampon. Cela pourrait permettre à des utilisateurs locaux
dâ??obtenir des informations de clef privée sensibles en exploitant lâ??accès à un
processus fils avec des droits distincts.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10012";>CVE-2016-10012</a>
<p>Guido Vranken a découvert que le gestionnaire de mémoire partagée dâ??OpenSSH
ne garantissait pas que la vérification de limites était appliquée pour tous
les compilateurs. Cela pourrait permettre à des utilisateurs locaux dâ??obtenir
des droits en exploitant lâ??accès au processus de bac à sable de droits
distincts.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10708";>CVE-2016-10708</a>
<p>Déréférencement de pointeur NULL et plantage du démon à l'aide d'un message
NEWKEYS pas dans le bon ordre.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15906";>CVE-2017-15906</a>
<p>Michal Zalewski a signalé quâ??OpenSSH empêchait improprement les opérations
dâ??écriture dans le mode écriture seulement. Cela permettait à des attaquants de
créer des fichiers de longueur zéro.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1:6.7p1-5+deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssh.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1500.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les versions antérieures à la version 1.8-pre2 de zutils étaient sujettes Ã
une vulnérabilité de dépassement de tampon dans zcat provoqué par un fichier
dâ??entrée lorsque lâ??option « -v, --show-nonprinting » était utilisée (ou
indirectement activée). Cela pouvait aboutir éventuellement à un déni de
service ou lâ??exécution de code arbitraire. Cette attaque semble exploitable
si la victime ouvre un fichier compressé contrefait, et a été corrigée
dans 1.8-pre2.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1.3-4+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets zutils.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1505.data"
# $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Des chercheurs en sécurité ont identifié une exécution spéculative de
méthodes par canal auxiliaire ayant le potentiel de récolter des données
sensibles à partir de périphériques informatiques avec des processeurs
et systèmes dâ??exploitation différents.</p>
<p>Cette mise à jour nécessite celle du paquet intel-microcode qui nâ??est pas
libre. Câ??est en relation avec DLA-1446-1 et ajoute plus de mitigations pour
des types de processeurs supplémentaires dâ??Intel.</p>
<p>Pour plus dâ??informations, lire aussi les alertes de sécurité officielles
dâ??Intel :</p>
<ul>
<li><url "https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00088.html";></li>
<li><url "https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html";></li>
<li><url "https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html";></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.20180807a.1~deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets intel-microcode.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1506.data"
# $Id: $
Reply to: