[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla-193{2,3,7}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="d12d77f164d6d9656dbb64c796201139283db45f" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une ouverture de redirection, permettant à un attaquant dâ??écrire un fichier
arbitraire en utilisant le nom de fichier fourni et le contenu du
répertoire actuel, en redirigeant une requête provenant de HTTP vers une
URL contrefaite pointant vers un serveur hors de contrôle, a été découverte
et signalée dans <a href="https://security-tracker.debian.org/tracker/CVE-2019-10751";>CVE-2019-10751</a>.
Cela a été corrigé en amont et lorsque « --download » sans « --output »
aboutit à une redirection, maintenant seule lâ??URL initiale est prise en
compte, mais pas la dernière.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 0.8.0-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets httpie.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1937.data"
# $Id: $

#use wml::debian::translation-check translation="711ab95f4f8ca64b55eceb57d528db51a52fe0d0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité dâ??injection de commande dans Nokogiri permet aux
commandes dâ??être exécutées dans un sous-processus avec la méthode de Ruby,
« Kernel.open ».</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.6.3.1+ds-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ruby-nokogiri.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1933.data"
# $Id: $

#use wml::debian::translation-check translation="1fe88c119d23384c59ccd2398be9feb00895a4a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilité de sécurité ont été trouvés dans OpenSSL, la boîte à
outils associée à SSL (Secure Socket Layer).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-1547";>CVE-2019-1547</a>

<p>Normalement dans OpenSSL les groupes EC ont toujours un cofacteur
présent et cela est utilisé pour les chemins au code immunisé contre les
canaux auxiliaires. Cependant, dans certains cas, il est possible de
construire un groupe utilisant des paramètres explicites (au lieu
dâ??utiliser une courbe nommée). Dans ces cas là, il est possible quâ??un tel
groupe nâ??ait pas de cofacteur présent. Cela peut arriver même si tous les
paramètres correspondent à une courbe nommée connue. Si une telle courbe
est utilisée, alors OpenSSL se retrouve avec des chemins dont le code nâ??est
pas immunisé contre les canaux auxiliaires. Cela peut aboutir dans la
récupération entière de la clef lors des opérations de signature ECDSA.
Pour être vulnérable, un attaquant devrait avoir la possibilité de
chronométrer la création dâ??un grand nombre de signatures où des paramètres
explicites sans cofacteur présent sont utilisés par une application
utilisant libcrypto. Pour éviter toute ambigüité, libssl nâ??est pas
vulnérable parce que les paramètres explicites ne sont jamais utilisés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-1563";>CVE-2019-1563</a>

<p>Dans les situations où un attaquant reçoit une notification automatique
de la réussite ou lâ??échec dâ??un essai de déchiffrement, un attaquant, après
lâ??envoi dâ??un très grand nombre de messages à déchiffrer, peut récupérer
une clef de chiffrement délivré en CMS ou PKCS7 ou déchiffrer nâ??importe quel
message de chiffrement RSA qui était chiffré avec la clef RSA publique,
en utilisant une attaque dâ??oracle par remplissage Bleichenbacher. Les
applications ne sont pas affectées si elles utilisent un certificat de
concert avec la clef RSA privée pour les fonctions CMS_decrypt ou
PKCS7_decrypt pour choisir lâ??information du destinataire à déchiffrer.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.0.1t-1+deb8u12.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1932.data"
# $Id: $
Reply to: