[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla-183{4,5,7,8}.wml



Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul
#use wml::debian::translation-check translation="fde938776706efcf28e8464baed268b4223022a0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs problèmes mineurs ont été corrigés dans mupdf, un visionneur léger
de PDF adapté à lâ??affichage de graphismes anticrénelés et de haute qualité.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5686";>CVE-2018-5686</a>

<p>Dans MuPDF, il existait une vulnérabilité de boucle infinie et de plantage
dâ??application dans la fonction pdf_parse_array (pdf/pdf-parse.c) à cause dâ??EOF
nâ??ayant pas été pris en compte. Des attaquants distants pourraient exploiter
cette vulnérabilité pour provoquer un déni de service à l'aide d'un fichier
PDF contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-6130";>CVE-2019-6130</a>

<p>MuPDF possède un SEGV dans la fonction fz_load_page du fichier
fitz/document.c, comme prouvé par mutool. Cela concernait le mauvais traitement
du numéro de page dans cbz/mucbz.c, cbz/muimg.c et svg/svg-doc.c.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6192";>CVE-2018-6192</a>

<p>Dans MuPDF, la fonction pdf_read_new_xref dans pdf/pdf-xref.c permettait à
des attaquants distants de provoquer un déni de service (violation de
segmentation et plantage d'application) à l'aide d'un fichier PDF contrefait.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.5-1+deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mupdf.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1838.data"
# $Id: $
#use wml::debian::translation-check translation="b38f74802b08dd0aca39ba0858b3f8dc9be5c8fe" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans le client RDP
rdesktop, qui pourraient aboutir à des dépassements de tampon et lâ??exécution de
 code arbitraire.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.8.6-0+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets rdesktop.</p>


<p>Pour disposer d'un état détaillé sur la sécurité de rdesktop, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/rdesktop";>https://security-tracker.debian.org/tracker/rdesktop</a></p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1837.data"
# $Id: $
#use wml::debian::translation-check translation="7473e749ff76a01d730fd1a14f3f28a88def2867" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans Python, un langage
interactif orienté objet de haut niveau.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-14647";>CVE-2018-14647</a>

<p>Lâ??accélérateur C elementtree de Python échouait à initialiser le sel du
hachage dâ??Expat lors de lâ??initialisation. Cela pourrait faciliter la conduite
dâ??attaques de déni de service à lâ??encontre dâ??Expat en construisant un XML qui
causerait des collisions de hachage pathologiques dans des structures de données
internes de Expat, consommant des montants considérables de CPU et RAM.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9636";>CVE-2019-9636</a>

<p>Gestion impropre de lâ??encodage Unicode (avec un netloc incorrect) lors de la
normalisation NFKC aboutissant dans une divulgation d'informations (identifiants,
cookies, etc., mis en cache pour un nom dâ??hôte donné). Une URL contrefaite pour
l'occasion pourrait être incorrectement analysée pour localiser les cookies ou
les données dâ??authentification et envoyer ces informations à un hôte différent
que celui dâ??une analyse correcte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9740";>CVE-2019-9740</a>

<p>Un problème a été découvert dans urllib2 où une injection CRLF
était possible si lâ??attaquant contrôlait un paramètre dâ??URL, comme prouvé par le
premier argument pour urllib.request.urlopen avec \r\n (spécialement dans la
chaîne de requête après un caractère ?) suivi par un en-tête HTTP ou un commande
Redis.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9947";>CVE-2019-9947</a>

<p>Un problème a été découvert dans urllib2 où une injection CRLF
était possible si lâ??attaquant contrôlait un paramètre dâ??URL, comme prouvé par le
premier argument pour urllib.request.urlopen avec \r\n (spécialement dans la
chaîne de requête après un caractère ?) suivi par un en-tête HTTP ou un commande
Redis. Cela est similaire au problème de chaîne de requête
<a href="https://security-tracker.debian.org/tracker/CVE-2019-9740";>CVE-2019-9740</a>.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 3.4.2-1+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python3.4.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1835.data"
# $Id: $
#use wml::debian::translation-check translation="8a7cb9a1edd44d4d2e6674f19896137d8f86fbf0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans Python, un langage
interactif orienté objet de haut niveau.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-14647";>CVE-2018-14647</a>

<p>Lâ??accélérateur C elementtree de Python échouait à initialiser le sel du
hachage dâ??Expat lors de lâ??initialisation. Cela pourrait faciliter la conduite
dâ??attaques de déni de service à lâ??encontre dâ??Expat en construisant un XML qui
causerait des collisions de hachage pathologiques dans des structures de données
internes de Expat, consommant des montants considérables de CPU et RAM.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-5010";>CVE-2019-5010</a>

<p>Déréférencement de pointeur NULL en utilisant un certificat X509 contrefait
pour l'occasion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9636";>CVE-2019-9636</a>

<p>Gestion impropre de lâ??encodage Unicode (avec un netloc incorrect) lors de la
normalisation NFKC aboutissant dans une divulgation d'informations (identifiants,
cookies, etc., mis en cache pour un nom dâ??hôte donné). Une URL contrefaite pour
l'occasion pourrait être incorrectement analysée pour localiser les cookies ou
les données dâ??authentification et envoyer ces informations à un hôte différent
que celui dâ??une analyse correcte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9740";>CVE-2019-9740</a>

<p>Un problème a été découvert dans urllib2 où une injection CRLF
était possible si lâ??attaquant contrôlait un paramètre dâ??URL, comme prouvé par le
premier argument pour urllib.request.urlopen avec \r\n (spécialement dans la
chaîne de requête après un caractère ?) suivi par un en-tête HTTP ou un commande
Redis.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9947";>CVE-2019-9947</a>

<p>Un problème a été découvert dans urllib2 où une injection CRLF
était possible si lâ??attaquant contrôlait un paramètre dâ??URL, comme prouvé par le
premier argument pour urllib.request.urlopen avec \r\n (spécialement dans la
chaîne de requête après un caractère ?) suivi par un en-tête HTTP ou un commande
Redis. Cela est similaire au problème de chaîne de requête
<a href="https://security-tracker.debian.org/tracker/CVE-2019-9740";>CVE-2019-9740</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9948";>CVE-2019-9948</a>

<p>urllib gère le schéma local_file:, ce qui facilite par les attaquants distants
le contournement de mécanismes de protection qui mettent en liste noire
file: URI, comme prouvé par le déclenchement dâ??un appel
urllib.urlopen('local_file:///etc/passwd').</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10160";>CVE-2019-10160</a>

<p>Une régression de sécurité <a href="https://security-tracker.debian.org/tracker/CVE-2019-9636";>CVE-2019-9636</a>
a été découverte qui permet encore à un attaquant dâ??exploiter
<a href="https://security-tracker.debian.org/tracker/CVE-2019-9636";>CVE-2019-9636</a>
en trompant lâ??utilisateur et les parties mot de passe dâ??une URL. Quand une
application analyse une URL fournie par lâ??utilisateur pour stocker les cookies,
les accréditations, les authentifiants ou dâ??autres sortes dâ??information, il est
possible pour un attaquant de fournir une URL contrefaite pour l'occasion pour
que lâ??application localise le informations relatives à lâ??hôte (par exemple,
cookies, données dâ??authentification) et les envoyer à un hôte différent de celui
quâ??il devrait, contrairement à une analyse correcte de lâ??URL. Le résultat de
cette attaque peut varier suivant lâ??application.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.7.9-2+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python2.7.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1834.data"
# $Id: $

Reply to: