[RFR] wml://lts/security/2019/dla-191{3-9}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="91640da5ae34159305a163a17375235afc34fca6" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou une
fuite d'informations.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-0136";>CVE-2019-0136</a>
<p>La mise en Å?uvre de soft-MAC (mac80211) wifi ne certifiait pas correctement
les messages TDLS (Tunneled Direct Link Setup). Un attaquant proche pourrait
utiliser cela pour provoquer un déni de service (perte de la connectivité wifi).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9506";>CVE-2019-9506</a>
<p>Daniele Antonioli, Nils Ole Tippenhauer et Kasper Rasmussen ont découvert une
faiblesse dans le protocole Bluetooth dâ??appariement, appelée <q> attaque
KNOB</q>. Un attaquant proche lors de lâ??appariement pourrait utiliser cela pour
affaiblir le chiffrement utilisé entre les périphériques appariés et écouter ou
usurper la communication entre eux.</p>
<p>Cette mise à jour atténue lâ??attaque en requérant une longueur minimale de
56Â bits pour la clef de chiffrement.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11487";>CVE-2019-11487</a>
<p>Jann Horn a découvert que lâ??infrastructure FUSE (système de fichiers en
espace utilisateur) pourrait être utilisée pour provoquer un dépassement
d'entier dans les comptes de références de page, conduisant à une utilisation de
mémoire après libération. Sur un système avec une mémoire physique suffisante, un
utilisateur local, autorisé à créer des montages FUSE arbitraires, pourrait
utiliser cela pour une élévation des privilèges.</p>
<p>Par défaut, les utilisateurs non privilégiés peuvent seulement monter des
systèmes de fichiers FUSE à lâ??aide de fusermount, ce qui limite le nombre de
montages créés et devrait atténuer complètement ce problème.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15211";>CVE-2019-15211</a>
<p>Lâ??outil syzkaller a trouvé un bogue dans le pilote radio-raremono qui
pourrait conduire à une utilisation de mémoire après libération. Un attaquant,
capable dâ??ajouter ou retirer des périphériques USB, pourrait utiliser cela pour
provoquer un déni de service (corruption de mémoire ou plantage) ou,
éventuellement, pour une élévation des privilèges.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15212";>CVE-2019-15212</a>
<p>Lâ??outil syzkaller a trouvé que le pilote rio500 ne fonctionnait pas
correctement si plus dâ??un appareil lui sont liés. Un attaquant, capable
dâ??ajouter des périphériques USB, pourrait utiliser cela pour provoquer un déni de
service (corruption de mémoire ou plantage) ou, éventuellement, pour une
élévation des privilèges.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15215";>CVE-2019-15215</a>
<p>Lâ??outil syzkaller a trouvé un bogue dans le pilote cpia2_usb aboutissant Ã
une utilisation de mémoire après libération. Un attaquant, capable dâ??ajouter ou
de retirer des périphériques USB, pourrait utiliser cela pour provoquer un déni de
service (corruption de mémoire ou plantage) ou, éventuellement, pour une
élévation des privilèges.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15216";>CVE-2019-15216</a>
<p>Lâ??outil syzkaller a trouvé un bogue dans le pilote yurex aboutissant à une
utilisation de mémoire après libération. Un attaquant, capable dâ??ajouter ou
de retirer des périphériques USB, pourrait utiliser cela pour provoquer un déni de
service (corruption de mémoire ou plantage) ou, éventuellement, pour une
élévation des privilèges.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15218";>CVE-2019-15218</a>
<p>Lâ??outil syzkaller a trouvé que le pilote smsusb driver ne vérifiait pas que
les périphériques USB avaient les terminaisons attendues, conduisant éventuellement
à un déréférencement de pointeur NULL. Un attaquant, capable dâ??ajouter des
périphériques USB, pourrait utiliser cela pour provoquer un déni de service
(bogue/oops).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15219";>CVE-2019-15219</a>
<p>Lâ??outil syzkaller a trouvé quâ??une erreur dâ??initialisation de périphérique
dans le pilote sisusbvga pourrait conduire à un déréférencement de pointeur
NULL. Un attaquant, capable dâ??ajouter des périphériques USB, pourrait utiliser
cela pour provoquer un déni de service (bogue/oops).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15220";>CVE-2019-15220</a>
<p>Lâ??outil syzkaller a trouvé une situation de compétition dans le pilote p54usb
qui pourrait conduire à une utilisation de mémoire après libération. Un
attaquant, capable dâ??ajouter ou de retirer des périphériques USB, pourrait
utiliser cela pour provoquer un déni de service (corruption de mémoire ou
plantage) ou, éventuellement, pour une élévation des privilèges.
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15221";>CVE-2019-15221</a>
<p>Lâ??outil syzkaller a trouvé que le pilote line6 ne vérifiait pas les tailles
maximales de paquet des périphériques USB, ce qui pourrait conduire à un
dépassement de tampon basé sur le tas. Un attaquant, capable dâ??ajouter des
périphériques USB pourrait utiliser cela pour provoquer un déni de service
(corruption de mémoire ou plantage) ou éventuellement pour une élévation des
privilèges.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15292";>CVE-2019-15292</a>
<p>Lâ??outil Hulk Robot a trouvé des vérifications manquantes dâ??erreurs dans
lâ??implémentation du protocole Appletalk, ce qui pourrait conduire à une
utilisation de mémoire après libération. Lâ??impact de sécurité apparait peu clair.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15538";>CVE-2019-15538</a>
<p>Benjamin Moody a signalé que les opérations sur XFS plantent après un échec
de la commande chgrp à cause dâ??un quota de disque. Un utilisateur local sur un
système utilisant XFS et les quotas de disque pourrait utiliser cela pour un
déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15666";>CVE-2019-15666</a>
<p>Lâ??outil Hulk Robot a trouvé une vérification incorrecte dâ??intervalle dans
la couche de transformation (xfrm) de réseau, conduisant à un accès en mémoire
hors limites. Un utilisateur local avec la capacité CAP_NET_ADMIN (dans
nâ??importe quel espace de noms) pourrait utiliser cela pour provoquer un déni de
service (corruption de mémoire ou plantage) ou, éventuellement, pour une
élévation des privilèges.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15807";>CVE-2019-15807</a>
<p>Jian Luo a signalé que la bibliothèque Serial Attached SCSI (libsas) ne
gérait pas correctement lâ??échec de découverte de périphériques derrière un
adaptateur SAS. Cela pourrait conduire à un perte de ressources et un plantage
(bogue). Lâ??impact de sécurité apparait peu clair.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15924";>CVE-2019-15924</a>
<p>Lâ??outil Hulk Robot a trouvé une vérification manquante dâ??erreur dans le
pilote fm10k Ethernet, ce qui pourrait conduire à un déréférencement de pointeur
NULL et un plantage (bogue/oops). Lâ??impact de sécurité apparait peu clair.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15926";>CVE-2019-15926</a>
<p>Le pilote ath6kl wifi ne vérifiait pas constamment les numéros de classe de
trafic dans les paquets de contrôle reçus, conduisant à un accès en mémoire hors
limites. Un attaquant proche sur le même réseau wifi pourrait utiliser cela pour
provoquer un déni de service (corruption de mémoire ou plantage) ou,
éventuellement, pour une élévation des privilèges.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 4.9.189-3~deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets linux-4.9.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1919.data"
# $Id: $
#use wml::debian::translation-check translation="58c1c26656c0d5e6bea1f22eca3bfb3eeda9cc91" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La bibliothèque Oniguruma dâ??expressions rationnelles, surtout utilisée dans
mbstring de PHP, est vulnérable à un épuisement de pile. Une expression
rationnelle contrefaite peut planter le processus.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 5.9.5-3.2+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libonig.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1918.data"
# $Id: $
#use wml::debian::translation-check translation="5c5b87558506066fbc0dc6c2c8ca12005c285355" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de dépassement de tampon basé sur le tas dans
curl, une bibliothèque et un outil en ligne de commande pour transférer des
données sur Internet.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-5482";>CVE-2019-5482</a>
<p>Dépassement de tampon basé sur le tas pour des tailles de bloc TFTP petites.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 7.38.0-4+deb8u16.</p>
<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1917.data"
# $Id: $
#use wml::debian::translation-check translation="393f8f0afdb95f71fb14e35eaf207a7cab0d3c21" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été corrigées dans opensc, un
ensemble de bibliothèques et utilitaires pour accéder aux cartes à puce qui
prennent en charge les opérations de chiffrement de carte.</p>
<p>Des lectures hors limites, dépassements de tampon et doubles libérations de
zone de mémoire pourraient être utilisés par des attaquants, capables de fournir
des cartes contrefaites, pour provoquer un déni de service (plantage
d'application) ou éventuellement avoir un impact non précisé.</p>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 0.16.0-3+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets opensc.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1916.data"
# $Id: $
#use wml::debian::translation-check translation="a71afcb39bf11b7d84847ca03410621d83ba158c" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Diverses procédures dans Ghostscript, l'interpréteur GPL de PostScript et de
PDF, ne restreignaient pas correctement les appels privilégiés, ce qui pourrait
avoir pour conséquence le contournement des restrictions du système de fichiers
dans le bac à sable dSAFER.</p>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 9.26a~dfsg-0+deb8u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ghostscript.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1915.data"
# $Id: $
#use wml::debian::translation-check translation="afd5e92340d2ead7961ca440181e447460d05f15" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été trouvées dans icedtea-web,
une implémentation de JNLP (Java Network Launching Protocol).</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10181";>CVE-2019-10181</a>
<p>Dans icedtea-web, du code exécutable pourrait être injecté dans un fichier
JAR sans compromettre la vérification de signature. Un attaquant pourrait
utiliser ce défaut pour injecter du code dans un JAR de confiance. Le code
serait exécuté à lâ??intérieur du bac à sable.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10182";>CVE-2019-10182</a>
<p>Icedtea-web ne vérifiait pas correctement les chemins des éléments
<jar/> dans les fichiers JNLP. Un attaquant pourrait piéger une victime
pour exécuter une application contrefaite pour l'occasion et utiliser ce défaut
pour téléverser des fichiers arbitraires dans des emplacements arbitraires dans
lâ??environnement de lâ??utilisateur.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10185";>CVE-2019-10185</a>
<p>Icedtea-web était vulnérable à une attaque <q>zip-slip</q> pendant
lâ??auto-extraction de fichier JAR. Un attaquant pourrait utiliser ce défaut pour
écrire des fichiers dans des emplacements arbitraires. Cela pourrait aussi être
utilisé pour remplacer lâ??application principale en cours dâ??exécution et,
éventuellement, sâ??échapper du bac à sable.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.5.3-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets icedtea-web.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1914.data"
# $Id: $
#use wml::debian::translation-check translation="2731a0b25f28ebe5f6da0ceeda43bfa0e8c569af" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une lecture hors limites de tampon basé sur la pile dans memcached,
le serveur de gestion de mémoire cache.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15026";>CVE-2019-15026</a>
<p>Memcached 1.5.16, lorsque les sockets UNIX étaient utilisées, effectuait une
lecture hors limites de tampon basé sur la pile dans <tt>conn_to_str</tt> dans
<tt>memcached.c</tt>.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.4.21-1.1+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets memcached.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1913.data"
# $Id: $
Reply to: