[RFR] wml://lts/security/2019/dla-17{25::30,32,34}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="37e15807c4f15c7bf1f3631abe08f9406ef3f0f1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Secunia Research a découvert plusieurs vulnérabilités dans libraw, une
bibliothèque de décodage dâ??image brute, qui peuvent être exploitées pour
provoquer un déni de service. Ces problèmes concernent des divisions par zéro,
des accès de lecture mémoire hors limites, des dépassements de tampon basé sur
le tas et des déréférencements de pointeur NULL.</p>


<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 0.16.0-9+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libraw.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1734.data"
# $Id: $

#use wml::debian::translation-check translation="164f922e4b35996c145341479be131b57906cd8e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de divulgation de mémoire a été découverte dans OpenJDK,
une implémentation de la plateforme Java dâ??Oracle, aboutissant à  une divulgation
d'informations ou un contournement des restrictions de bac à sable.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 7u211-2.6.17-1~deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openjdk-7.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1732.data"
# $Id: $

#use wml::debian::translation-check translation="ba57a248ba263b6695719c776e5da167539a570d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été récemment découverts dans libssh2, une
bibliothèque C coté client, mettant en Å?uvre le protocole SSH2.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3855";>CVE-2019-3855</a>

<p>Un défaut de dépassement d'entier, qui pouvait conduire à une écriture hors
limites, a été découvert dans libssh2 dans la manière dont les paquets étaient
lus à partir du serveur. Un attaquant distant qui corrompait un serveur SSH,
pouvait exécuter du code dans le système client quand un utilisateur se
connectait sur le serveur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3856";>CVE-2019-3856</a>

<p>Un défaut de dépassement d'entier, qui pouvait conduire à une écriture hors
limites, a été découvert dans libssh2 dans la manière dont les requêtes de
saisie de clavier étaient analysées. Un attaquant distant qui corrompait un
serveur SSH, pouvait exécuter du code dans le système client quand un
utilisateur se connectait sur le serveur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3857";>CVE-2019-3857</a>

<p>Un défaut de dépassement d'entier, qui pouvait conduire à une écriture hors
limites, a été découvert dans libssh2 dans la manière dont les paquets
SSH_MSG_CHANNEL_REQUEST avec un signal exit étaient analysés. Un attaquant
distant qui corrompait un serveur SSH, pouvait exécuter du code dans le
système client quand un utilisateur se connectait sur le serveur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3858";>CVE-2019-3858</a>

<p>Un défaut de lecture hors limites a été découvert dans libssh2 quand un
paquet SFTP contrefait pour l'occasion était reçu du serveur. Un attaquant
distant qui corrompait un serveur SSH pouvait provoquer un déni de service
ou lire des données dans la mémoire du client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3859";>CVE-2019-3859</a>

<p>Un défaut de lecture hors limites a été découvert dans les fonctions
_libssh2_paquet_require et _libssh2_paquet_requirev de libssh2. Un attaquant
distant qui corrompait un serveur SSH pouvait provoquer un déni de service
ou lire des données dans la mémoire du client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3860";>CVE-2019-3860</a>

<p>Un défaut de lecture hors limites a été découvert dans libssh2 dans la
manière dont les paquets SFTP avec des charges vides étaient analysés. Un
attaquant distant qui corrompait un serveur SSH pouvait provoquer un déni de
service ou lire des données dans la mémoire du client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3861";>CVE-2019-3861</a>

<p>Un défaut de lecture hors limites a été découvert dans libssh2 dans la
manière dont les paquets SSH avec une valeur de longueur de remplissage plus
grande que la longueur du paquet étaient analysés. Un attaquant distant qui
corrompait un serveur SSH pouvait provoquer un déni de service ou lire des
données dans la mémoire du client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3862";>CVE-2019-3862</a>

<p>Un défaut de lecture hors limites a été découvert dans libssh2 dans la
manière dont les paquets SSH_MSG_CHANNEL_REQUEST avec un message dâ??état exit et
sans charge étaient analysés. Un attaquant distant qui corrompait un serveur
SSH pouvait provoquer un déni de service ou lire des données dans la mémoire
du client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-3863";>CVE-2019-3863</a>

<p>Un serveur pouvait envoyer plusieurs messages pour réponse interactive au
clavier dont la longueur totale était plus grande que les caractères unsigned
char max. Cette valeur était utilisée comme index pour copier la mémoire
provoquant une erreur dâ??écriture en mémoire hors limites.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.4.3-4.1+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libssh2.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1730.data"
# $Id: $

#use wml::debian::translation-check translation="4155ba4afd4c2c3f60348343afc14026bbc78f4b" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans wireshark, un analyseur de
trafic réseau.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9209";>CVE-2019-9209</a>:

<p>Prévention du plantage du BER ASN.1 et des dissecteurs associés en évitant un
dépassement de tampon associé avec des nombres excessifs dans les valeurs de
temps.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9349";>CVE-2017-9349</a>:

<p>Correction dâ??une boucle infinie dans le dissecteur DICOM par la validation
dâ??une valeur de longueur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9344";>CVE-2017-9344</a>:

<p>Ã?vitement dâ??une division par zéro, par la validation dâ??une valeur
dâ??intervalle dans le dissecteur Bluetooth L2CAP.</p>


<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.12.1+g01b65bf-4+deb8u18.</p>
<p>Nous vous recommandons de mettre à jour vos paquets wireshark.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>

</ul>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1729.data"
# $Id: $

#use wml::debian::translation-check translation="0706dcba0990f075e843c8aa509e0772d5ed71b9" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités de client ont été découvertes dans OpenSSH, lâ??outil
premier de connectivité pour une connexion distante dâ??interpréteur sécurisé et
transfert de fichiers sécurisé.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20685";>CVE-2018-20685</a>

<p>Dans scp.c, le client scp permettait aux serveurs SSH distants de contourner
les restrictions dâ??accès voulues à  lâ??aide du nom de fichier « . » ou vide.
Lâ??impact modifiait les permissions du répertoire cible du côté client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-6109";>CVE-2019-6109</a>

<p>Dû à  un encodage de caractères manquant dans lâ??affichage de progression, un
serveur malveillant (ou attaquant de type « homme du milieu ») pouvait employer
des noms dâ??objet contrefaits pour manipuler la sortie du client, par exemple,
en utilisant des codes de contrôle ANSI pour cacher le transfert de fichiers
supplémentaires. Cela affecte refresh_progress_meter() dans progressmeter.c.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-6111";>CVE-2019-6111</a>

<p>Dû à  ce que lâ??implémentation de scp est dérivée de rcp 1983, le serveur
choisit quels fichiers ou répertoires sont envoyés au client. Cependant, le
client scp ne réalise que la validation superficielle du nom dâ??objet renvoyé
(seules les attaques par traversée de répertoires sont empêchées). Un serveur
scp malveillant (ou attaquant de type « homme du milieu ») pouvait écraser des
fichiers arbitraires dans le répertoire cible du client scp. Si une opération
récursive (-r) était réalisée, le serveur pouvait manipuler des sous-répertoires,
ainsi que, par exemple, écraser le fichier .ssh/authorized_keys.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1:6.7p1-5+deb8u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssh.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1728.data"
# $Id: $

#use wml::debian::translation-check translation="51cf9609c4eff060061972604aa739fe35439e4a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web
Firefox de Mozilla, qui pourrait éventuellement aboutir à l'exécution de code
arbitraire.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 60.6.1esr-1~deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1727.data"
# $Id: $

#use wml::debian::translation-check translation="525aadda8fdfdc6a27b2cdae7fd3f759628a46ae" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux problèmes ont été corrigés dans bash, lâ??interpréteur de commandes GNU
 Bourne-Again Shell.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9401";>CVE-2016-9401</a>

<p>Défaut de segmentation dans popd interne lorsquâ??appelé avec des décalages
négatifs hors intervalle.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9924";>CVE-2019-9924</a>

<p>Sylvain Beucler a découvert quâ??il est possible dâ??appeler des commandes
contenant une barre oblique dans le mode restreint (rbash) en lâ??ajoutant dans
un tableau BASH_CMDS.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 4.3-11+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets bash.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1726.data"
# $Id: $

#use wml::debian::translation-check translation="54c33b7f6a6707a0e85d93a13c1bee1b0b7b70d6" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Trail de Bits utilisait les outils automatiques de découverte de vulnérabilité
développés par «·Cyber Grand Challenge·» de DARPA pour inspecter zlib. Comme
rsync, un outil rapide, polyvalent, de copie de fichiers distants (ou locaux),
utilise une copie imbriquée de zlib, ces problèmes sont aussi présents dans
rsync.</p>

<p></p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9840";>CVE-2016-9840</a>

<p>Dans le but dâ??éviter un comportement indéfini, suppression de lâ??optimisation
du pointeur de décalage, car ce nâ??est pas conforme avec la norme C.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9841";>CVE-2016-9841</a>

<p>Utilisation seule dâ??une post-incrémentation pour être conforme avec la
norme C.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9842";>CVE-2016-9842</a>

<p>Dans le but dâ??éviter un comportement indéfini, ne pas modifier les valeurs
négatives, car ce nâ??est pas conforme avec la norme C.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9843";>CVE-2016-9843</a>

<p>Dans le but dâ??éviter un comportement indéfini, ne pas pré-décrémenter un
pointeur dans le calcul CRC petit boutiste, car ce nâ??est pas conforme avec la
norme C.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5764";>CVE-2018-5764</a>

<p>Empêchement pour des attaquants distants dâ??être capable de contourner le
mécanisme de protection argument-vérification en ignorant --protect-args lorsque
déjà envoyé par le client.</p>


<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 3.1.1-3+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets rsync.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>

</ul>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1725.data"
# $Id: $