[RFR2] wml://lts/security/2015/dla-2{51-2,52,61-2,65-2,67,78-2,88-2,90-2}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

Le 16/12/2019 à 20:11, JP Guillonneau a écrit :
> Bonjour,
>
> suggestions.
>
> Amicalement.
>
> --
> Jean-Paul

Corrections appliquées. De nouvelles corrections ?

Amicalement,

jipege

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>opensaml2, une bibliothèque du « Security Assertion Markup Language »,
nécessitait d'être reconstruite avec une version corrigée du paquet
xmltooling, à cause de son utilisation de macros vulnérables au
<a href="https://security-tracker.debian.org/tracker/CVE-2015-0851";>CVE-2015-0851</a>,
tel qu'il a été corrigé dans la mise à jour DSA-3321-1.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2.3-2+squeeze2 d'opensaml2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2015/dla-290-2.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le correctif original ne désactivait pas la prise en charge de la
vérification de KDC par défaut et modifiait la signature de checkPassowrd().
Cette mise à jour corrige cela.</p>

<p>Voici le texte de l'annonce originale :</p>

<p>Martin Prpic a signalé la possibilité d'une attaque de type « homme du
milieu » dans le code de pykerberos au Bugzilla de Red Hat (le suiveur de
bogues de Fedora). Le problème original a déjà été signalé à l'amont [1].
Nous citons partiellement le rapport de bogue amont ci-dessous :</p>

<p>La méthode checkPassword() de python-kerberos était gravement non
sécurisée dans les versions précédentes. Elle exécutait (et exécute encore
par défaut) un kinit (AS-REQ) pour demander à un centre de distribution de
clés (KDC) un « Ticket Granting Ticket » (TGT) pour le commettant de
l'utilisateur donné, et interprète son succès ou son échec comme
l'indication que le mot de passe est correct ou non. Il ne vérifie pas,
néanmoins, qu'il parle vraiment à un KDC de confiance : un attaquant peut
simplement répondre plutôt avec un AS-REP qui correspond au mot de passe
qu'il vient de vous donner.</p>

<p>Imaginez que vous êtes en train de vérifier un mot de passe en utilisant
une authentification LDAP plutôt que Kerberos : vous utiliseriez, bien sûr,
TLS en liaison avec LDAP pour vous assurer que vous parlez à un serveur
LDAP de confiance véritable. La même exigence s'applique ici. Kinit n'est
pas un service de vérification de mot de passe.</p>

<p>La manière habituelle de faire est de prendre le TGT obtenu avec le mot
passe de l'utilisateur, et ensuite d'obtenir un ticket pour un commettant
dont le vérificateur possède des clés (par exemple un serveur web traitant
un formulaire de connexion nom d'utilisateur/mot de passe pourrait obtenir
un ticket pour son propre commettant HTTP/host@REALM), qu'il peut alors
vérifier. Notez que cela requiert que le vérificateur possède sa propre
identité Kerberos, ce qui est imposé par la nature symétrique de Kerberos
(tandis que dans le cas de LDAP, l'utilisation du chiffrement à clé
publique permet une vérification anonyme).</p>

<p>Avec cette version du paquet pykerberos, une nouvelle option est
introduite pour la méthode checkPassword(). Définir « verify » à « True »
lors de l'utilisation de checkPassword() réalisera une vérification de KDC.
Pour que cela fonctionne, il faut fournir un fichier krb5.keytab contenant
les clés du commettant pour le service que vous vous voulez utiliser.</p>

<p>Comme le fichier krb5.keytab par défaut dans /etc n'est normalement pas
accessible aux utilisateurs et processus qui ne sont pas superutilisateurs,
il faut s'assurer qu'un fichier krb5.keytab personnalisé contenant les
bonnes clés des commettants est fourni à l'application qui utilise la
variable d'environnement KRB5_KTNAME.</p>
<p><b>Note</b> : dans Debian Squeeze(-lts), la prise en charge de la
vérification de KDC est désactivée par défaut afin de ne pas casser les
réglages existants.</p>

<p>[1] <a href="https://www.calendarserver.org/ticket/833";>\
https://www.calendarserver.org/ticket/833</a></p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version  1.1+svn4895-1+deb6u2 de pykerberos.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2015/dla-265-2.data"
# $Id: $

#use wml::debian::translation-check translation="0ed8a0aa8d55b26289e783411235df20fc6c41d6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Unattended-upgrades, un script pour l'installation automatique des mises
à niveau de sécurité, n'authentifiait pas correctement les paquets
téléchargés quand les options force-confold ou force-confnew de dpkg
étaient activées par la configuration DPkg::Options::* d'apt.</p>

<p>Nous vous recommandons de mettre à jour votre paquet unattended-upgrades.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 0.62.2+squeeze1 d'unattended-upgrades.</p>

<p>Note : Cette annonce de sécurité a été publiée à l'origine sous la
référence DLA-265-1, mais, à la suite d'une erreur, cet identifiant a été
réutilisé.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2015/dla-267.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs bogues ont été découverts dans PostgreSQL, un système de
serveur de bases de données relationnelles. La branche 8.4 a atteint sa fin
de vie pour l’amont, mais elle est encore présente dans Squeeze de Debian.
Cette nouvelle version mineure de LTS fournit les correctifs appliqués par
l’amont à la version 9.0.22, rétroportée vers la version 8.4.22 qui était
la dernière version publiée officiellement par les développeurs de
PostgreSQL. Cette initiative de LTS pour Squeeze-lts est un projet de la
communauté parrainé par credativ GmbH.</p>

<p>## Migration vers la version 8.4.22lts4</p>

<p>Un vidage et restauration n’est pas requis pour ceux qui utilisent une
version 8.4.X. Néanmoins si vous mettez à niveau à partir d'une version
antérieure à 8.4.22, consultez les notes de publication correspondantes.</p>

<p>## Modifications</p>

<ul>

<li>Correction d'un échec rare d'invalidation du fichier init du cache de relation (Tom Lane)

<p>Avec seulement une mauvaise temporalité d'activités concurrentes, une
commande VACUUM FULL sur un catalogue du système pourrait échouer à mettre à
jour le fichier init qui est utilisé pour éviter la tâche de charger le
cache pour de nouvelles sessions. Cela pourrait avoir pour conséquence que
les sessions ultérieures pourraient n'avoir accès à aucun catalogue. C'est
un bogue très ancien, mais il est si difficile à déclencher qu'aucun
cas reproductible n'a été découvert jusqu'à récemment.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 8.4.22lts4-0+deb6u1 de postgresql-8.4.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2015/dla-252.data"
# $Id: $

#use wml::debian::translation-check translation="04b2a712f0dc1f99d41ff1a394028d0309992b19" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le précédent envoi de zendframework corrige incorrectement <a href="https://security-tracker.debian.org/tracker/CVE-2015-3154";>CVE-2015-3154</a>,
provoquant une régression. Cette mise à jour corrige ce problème. Merci à
Evgeny Smolin (Евгений Смолин) &lt;esmolin@inbox.ru&gt;.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6531";>CVE-2012-6531</a>

<p>Pádraic Brady a identifié une faiblesse dans la gestion de la classe
SimpleXMLElement de zendframework, permettant à des attaquants distants de
lire des fichiers arbitraires ou de créer des connexions TCP à l'aide d'une
attaque par injection d’entités externes XML (XXE).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6532";>CVE-2012-6532</a>

<p>Pádraic Brady a découvert que des attaquants distants pourraient causer
un déni de service par consommation de CPU, grâce à des références
récursives ou circulaires à travers une attaque par expansion d’entités
externes XML (XEE).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2681";>CVE-2014-2681</a>

<p>Lukas Reschke a signalé une absence de protection contre des attaques par
injection d’entités externes XML dans certaines fonctions. Cette correction
complète la correction incomplète de <a href="https://security-tracker.debian.org/tracker/CVE-2012-5657";>CVE-2012-5657</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2682";>CVE-2014-2682</a>

<p>Lukas Reschke a signalé un échec de la prise en compte du partage de la
configuration de libxml_disable_entity_loader parmi les processus dans le
cas de PHP-FPM. Cette correction complète la correction incomplète de
<a href="https://security-tracker.debian.org/tracker/CVE-2012-5657";>CVE-2012-5657</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2683";>CVE-2014-2683</a>

<p>Lukas Reschke a signalé une absence de protection contre des attaques par
expansion d’entités externes XML dans certaines fonctions. Cette correction
complète la correction incomplète de <a href="https://security-tracker.debian.org/tracker/CVE-2012-6532";>CVE-2012-6532</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2684";>CVE-2014-2684</a>

<p>Christian Mainka et Vladislav Mladenov de l'Université de la Ruhr à
Bochum ont signalé une erreur dans la méthode de vérification du
consommateur qui mène à l'acceptation de jetons d'origine incorrecte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2685";>CVE-2014-2685</a>

<p>Christian Mainka et Vladislav Mladenov de l'Université de la Ruhr à
Bochum ont signalé une violation de spécification dans laquelle la signature
d'un seul paramètre est incorrectement considérée comme suffisante.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4914";>CVE-2014-4914</a>

<p>Cassiano Dal Pizzol a découvert que l'implémentation de la variable ORDER
BY SQL dans Zend_Db_Select contient une potentielle injection SQL quand la
chaîne de la requête envoyée contient des parenthèses.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8088";>CVE-2014-8088</a>

<p>Yury Dyachenko du Positive Research Center a identifié de potentiels
vecteurs d’injection d’entités externes XML dus à l'utilisation non
sécurisée de l'extension DOM de PHP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8089";>CVE-2014-8089</a>

<p>Jonas Sandström a découvert un vecteur d'injection SQL lors de la
protection manuelle de valeur pour l'extension sqlsrv, en utilisant un
octet NULL.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3154";>CVE-2015-3154</a>

<p>Filippo Tessarotto et Maks3w ont signalé des attaques potentielles
d'injection de fin de ligne (CRLF) dans les en-têtes de messages et HTTP.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 1.10.6-1squeeze4 de zendframework.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2015/dla-251-2.data"
# $Id$