[RFR] wml://security/2019/dsa-450{6,7,8,9}.wml
Bonjour,
quatre nouvelles annonces de sécurité viennent d'être publiées.
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="b917e690cbacd447496fcc36bb3b22df5d6873b2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le serveur web HTTP
Apache.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9517";>CVE-2019-9517</a>
<p>Jonathan Looney a signalé qu'un client malveillant pourrait réaliser une
attaque par déni de service (épuisement des « workers » h2) en inondant une
connexion de requêtes et, essentiellement, en ne lisant jamais les réponses
sur la connexion TCP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10081";>CVE-2019-10081</a>
<p>Craig Young a signalé que les fonctions PUSH HTTP/2 pourraient conduire
à un écrasement de mémoire dans la réserve de requêtes d'envois, menant Ã
des plantages.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10082";>CVE-2019-10082</a>
<p>Craig Young a signalé que le traitement de session HTTP/2 pourrait être
conçu pour lire la mémoire après libération lors de la fermeture de la
connexion.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10092";>CVE-2019-10092</a>
<p>Matei <q>Mal</q> Badanoiu a signalé une vulnérabilité limités de script
intersite dans la page d'erreur de mod_proxy.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10097";>CVE-2019-10097</a>
<p>Daniel McCarney a signalé que lorsque mod_remoteip été configuré pour
utiliser un serveur de mandataire intermédiaire de confiance utilisant le
protocole <q>PROXY</q>, un en-tête PROXY contrefait pour l'occasion
pourrait déclencher un dépassement de tampon de pile ou un déréférencement
de pointeur NULL. Cette vulnérabilité pourrait être seulement déclenchée
par un mandataire de confiance et non par des clients HTTP non fiables. Ce
problème n'affecte pas la version présente dans Stretch.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10098";>CVE-2019-10098</a>
<p>Yukitsugu Sasaki a signalé une possible vulnérabilité de redirection
d'ouverture dans le module mod_rewrite.</p></li>
</ul>
<p>Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés
dans la version 2.4.25-3+deb9u8.</p>
<p>Pour la distribution stable (Buster), ces problèmes ont été corrigés
dans la version 2.4.38-3+deb10u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de apache2, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/apache2";>\
https://security-tracker.debian.org/tracker/apache2</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4509.data"
# $Id: $
#use wml::debian::translation-check translation="404cce71ee05931afe05b1f7983eee244c2aa6a5" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Trois vulnérabilités ont été découvertes dans le code HTTP/2 du serveur
HTTP H2O, qui pourraient avoir pour conséquence un déni de service.</p>
<p>Pour la distribution stable (Buster), ces problèmes ont été corrigés
dans la version 2.2.5+dfsg2-2+deb10u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets h2o.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de h2o, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/h2o";>\
https://security-tracker.debian.org/tracker/h2o</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4508.data"
# $Id: $
#use wml::debian::translation-check translation="3af4060645645520f7827d5fbf76af3c6bb56ea3" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Squid, un cache de
serveur mandataire web riche en fonctionnalités. Les défauts dans le
traitement de l'authentification par Digest HTTP, de l'authentification
« Basic » HTTP et dans cachemgr.cgi permettaient à des attaquants distants
de réaliser un déni de service et des attaques par script intersite, et,
éventuellement l'exécution de code arbitraire.</p>
<p>Pour la distribution stable (Buster), ces problèmes ont été corrigés
dans la version 4.6-1+deb10u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets squid.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de squid, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/squid";>\
https://security-tracker.debian.org/tracker/squid</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4507.data"
# $Id: $
#use wml::debian::translation-check translation="cbab5335c764283922ad7e91ad6fe0d0bb8e6bf8" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans QEMU, un
émulateur rapide de processeur, qui pourraient avoir pour conséquence un
déni de service, l'exécution de code arbitraire ou le contournement des
ACL.</p>
<p>En complément, cette mise à jour corrige une régression qui pourrait
provoquer le blocage de connexions NBD.</p>
<p>Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés
dans la version 1:2.8+dfsg-6+deb9u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de qemu, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/qemu";>\
https://security-tracker.debian.org/tracker/qemu</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4506.data"
# $Id: $
Reply to: