[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla-19{19-2,20,21,23}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="79b6025f4c3513b54bc5154ee82f11872f18b4e4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans Ansible, un système de
gestion de configuration, de déploiement et d'exécution de tâches.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3908";>CVE-2015-3908</a>

<p>Attaque potentielle de type « homme du milieu » associée avec une
vérification insuffisante de certificat X.509. Ansible ne vérifiait pas que le
nom dâ??hôte du serveur ne correspond pas à un nom de domaine dans le Common Name
(CN) du sujet ou le champ subjectAltName du certificat X.509. Cela permet à des
attaquants de type « homme du milieu » dâ??usurper les serveurs SSL à l'aide d'un
certificat arbitraire valable.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6240";>CVE-2015-6240</a>

<p>Attaque par lien symbolique permettant à des utilisateurs locaux de
sâ??évader dâ??un environnement restreint (chroot ou jail) à l'aide d'une attaque
par lien symbolique.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10875";>CVE-2018-10875</a>

<p>Correctif pour lâ??exécution potentielle de code arbitraire aboutissant à
lire le fichier ansible.cfg à partir dâ??un répertoire  courant de travail
modifiable par tout le monde. Cette condition fait que désormais ansible émet un
avertissement et ignore le fichier ansible.cfg dans le répertoire courant de
travail modifiable par tout le monde.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10156";>CVE-2019-10156</a>

<p>Divulgation dâ??informations à lâ??aide dâ??une substitution inattendue de variable.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.7.2+dfsg-2+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ansible.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1923.data"
# $Id: $

#use wml::debian::translation-check translation="d8cfa929212b6937c2f8aa9372944f3b7827244d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Samuel R Lovejoy a découvert une vulnérabilité de sécurité dans dnsmasq. Des
paquets soigneusement contrefaits par des serveurs DNS peuvent conduire dans des
opérations de lecture hors limites, conduisant éventuellement à un plantage et
un déni de service.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 2.72-3+deb8u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets dnsmasq.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1921.data"
# $Id: $

#use wml::debian::translation-check translation="798947699818144393e5554c597f99cba94595bf" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Ce paquet ignore la valeur de lâ??en-tête de hachage. Cela permet à un
attaquant de lâ??usurper. Un attaquant peut ne pas seulement incorporer des
en-têtes arbitraires Armor, mais aussi faire précéder du texte arbitraire aux
messages en texte clair sans invalider les signatures.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 0.0~hg190-1+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets golang-go.crypto.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1920.data"
# $Id: $

#use wml::debian::translation-check translation="641d452b663222d3450ea50223e648af9f93ad07" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou une
fuite d'informations.</p>

<p>Ce texte dâ??annonce mis à jour mentionne les modifications supplémentaires ne
concernant pas la sécurité et souligne la nécessité dâ??installer de nouveaux
paquets binaires.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-0136";>CVE-2019-0136</a>

<p>La mise en Å?uvre de soft-MAC (mac80211) wifi ne certifiait pas correctement
les messages TDLS (Tunneled Direct Link Setup). Un attaquant proche pourrait
utiliser cela pour provoquer un déni de service (perte de la connectivité wifi).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9506";>CVE-2019-9506</a>

<p>Daniele Antonioli, Nils Ole Tippenhauer et Kasper Rasmussen ont découvert une
faiblesse dans le protocole Bluetooth dâ??appariement, appelée <q> attaque
KNOB</q>. Un attaquant proche lors de lâ??appariement pourrait utiliser cela pour
affaiblir le chiffrement utilisé entre les périphériques appariés et écouter ou
usurper la communication entre eux.</p>

<p>Cette mise à jour atténue lâ??attaque en requérant une longueur minimale de
56 bits pour la clef de chiffrement.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11487";>CVE-2019-11487</a>

<p>Jann Horn a découvert que lâ??infrastructure FUSE (système de fichiers en
espace utilisateur) pourrait être utilisée pour provoquer un dépassement
d'entier dans les comptes de références de page, conduisant à une utilisation de
mémoire après libération. Sur un système avec une mémoire physique suffisante, un
utilisateur local, autorisé à créer des montages FUSE arbitraires, pourrait
utiliser cela pour une élévation des privilèges.</p>

<p>Par défaut, les utilisateurs non privilégiés peuvent seulement monter des
systèmes de fichiers FUSE à lâ??aide de fusermount, ce qui limite le nombre de
montages créés et devrait atténuer complètement ce problème.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15211";>CVE-2019-15211</a>

<p>Lâ??outil syzkaller a trouvé un bogue dans le pilote radio-raremono qui
pourrait conduire à une utilisation de mémoire après libération. Un attaquant,
capable dâ??ajouter ou retirer des périphériques USB, pourrait utiliser cela pour
provoquer un déni de service (corruption de mémoire ou plantage) ou,
éventuellement, pour une élévation des privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15212";>CVE-2019-15212</a>

<p>Lâ??outil syzkaller a trouvé que le pilote rio500 ne fonctionnait pas
correctement si plus dâ??un appareil lui sont liés. Un attaquant, capable
dâ??ajouter des périphériques USB, pourrait utiliser cela pour provoquer un déni de
service (corruption de mémoire ou plantage) ou, éventuellement, pour une
élévation des privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15215";>CVE-2019-15215</a>

<p>Lâ??outil syzkaller a trouvé un bogue dans le pilote cpia2_usb aboutissant à
une utilisation de mémoire après libération. Un attaquant, capable dâ??ajouter ou
de retirer des périphériques USB, pourrait utiliser cela pour provoquer un déni de
service (corruption de mémoire ou plantage) ou, éventuellement, pour une
élévation des privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15216";>CVE-2019-15216</a>

<p>Lâ??outil syzkaller a trouvé un bogue dans le pilote yurex aboutissant à une
utilisation de mémoire après libération. Un attaquant, capable dâ??ajouter ou
de retirer des périphériques USB, pourrait utiliser cela pour provoquer un déni de
service (corruption de mémoire ou plantage) ou, éventuellement, pour une
élévation des privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15218";>CVE-2019-15218</a>

<p>Lâ??outil syzkaller a trouvé que le pilote smsusb driver ne vérifiait pas que
les périphériques USB avaient les terminaisons attendues, conduisant éventuellement
à un déréférencement de pointeur NULL. Un attaquant, capable dâ??ajouter des
périphériques USB, pourrait utiliser cela pour provoquer un déni de service
(bogue/oops).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15219";>CVE-2019-15219</a>

<p>Lâ??outil syzkaller a trouvé quâ??une erreur dâ??initialisation de périphérique
dans le pilote sisusbvga pourrait conduire à un déréférencement de pointeur
NULL. Un attaquant, capable dâ??ajouter des périphériques USB, pourrait utiliser
cela pour provoquer un déni de service (bogue/oops).</p></li>


<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15220";>CVE-2019-15220</a>

<p>Lâ??outil syzkaller a trouvé une situation de compétition dans le pilote p54usb
qui pourrait conduire à une utilisation de mémoire après libération. Un
attaquant, capable dâ??ajouter ou de retirer des périphériques USB, pourrait
utiliser cela pour provoquer un déni de service (corruption de mémoire ou
plantage) ou, éventuellement, pour une élévation des privilèges.

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15221";>CVE-2019-15221</a>

<p>Lâ??outil syzkaller a trouvé que le pilote line6 ne vérifiait pas les tailles
maximales de paquet des périphériques USB, ce qui pourrait conduire à un
dépassement de tampon basé sur le tas. Un attaquant, capable dâ??ajouter des
périphériques USB pourrait utiliser cela pour provoquer un déni de service
(corruption de mémoire ou plantage) ou éventuellement pour une élévation des
privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15292";>CVE-2019-15292</a>

<p>Lâ??outil Hulk Robot a trouvé des vérifications manquantes dâ??erreurs dans
lâ??implémentation du protocole Appletalk, ce qui pourrait conduire à une
utilisation de mémoire après libération. Lâ??impact de sécurité apparait peu clair.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15538";>CVE-2019-15538</a>

<p>Benjamin Moody a signalé que les opérations sur XFS plantent après un échec
de la commande chgrp à cause dâ??un quota de disque. Un utilisateur local sur un
système utilisant XFS et les quotas de disque pourrait utiliser cela pour un
déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15666";>CVE-2019-15666</a>

<p>Lâ??outil Hulk Robot a trouvé une vérification incorrecte dâ??intervalle dans
la couche de transformation (xfrm) de réseau, conduisant à un accès en mémoire
hors limites. Un utilisateur local avec la capacité CAP_NET_ADMIN (dans
nâ??importe quel espace de noms) pourrait utiliser cela pour provoquer un déni de
service (corruption de mémoire ou plantage) ou, éventuellement, pour une
élévation des privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15807";>CVE-2019-15807</a>

<p>Jian Luo a signalé que la bibliothèque Serial Attached SCSI (libsas) ne
gérait pas correctement lâ??échec de découverte de périphériques derrière un
adaptateur SAS. Cela pourrait conduire à un perte de ressources et un plantage
(bogue). Lâ??impact de sécurité apparait peu clair.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15924";>CVE-2019-15924</a>

<p>Lâ??outil Hulk Robot a trouvé une vérification manquante dâ??erreur dans le
pilote fm10k Ethernet, ce qui pourrait conduire à un déréférencement de pointeur
NULL et un plantage (bogue/oops). Lâ??impact de sécurité apparait peu clair.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15926";>CVE-2019-15926</a>

<p>Le pilote ath6kl wifi ne vérifiait pas constamment les numéros de classe de
trafic dans les paquets de contrôle reçus, conduisant à un accès en mémoire hors
limites. Un attaquant proche sur le même réseau wifi pourrait utiliser cela pour
provoquer un déni de service (corruption de mémoire ou plantage) ou,
éventuellement, pour une élévation des privilèges.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 4.9.189-3~deb8u1. Cette version inclut aussi un correctif pour le
bogue de Debian n° 930904 et dâ??autres correctifs dans les mises à jour amont
de stable.</p>

<p>Nous recommandons la mise à niveau de vos paquets linux-4.9 et
linux-latest-4.9. Vous devrez utiliser <q>apt-get upgrade --with-new-pkgs</q> ou
<q>apt upgrade</q> car le nom des paquets binaires a été modifié.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1919-2.data"
# $Id: $
Reply to: