[RFR] wml://security/2019/dsa-438{7,8}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,
deux nouvelles annonces de sécurité viennent d'être publiées.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="f83e60277f547a814f390389ca36a61fb8c277c6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Trois vulnérabilités ont été découvertes dans le courtier MQTT Mosquitto
qui pourraient avoir pour conséquence un contournement d'authentification.
Veuillez consulter
<a href="https://mosquitto.org/blog/2019/02/version-1-5-6-released/";>https://mosquitto.org/blog/2019/02/version-1-5-6-released/</a> pour plus d'information.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 1.4.10-3+deb9u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mosquitto.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de mosquitto, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/mosquitto";>\
https://security-tracker.debian.org/tracker/mosquitto</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4388.data"
# $Id: $

#use wml::debian::translation-check translation="19fdc288616ee3bfe6ee122b16cd10940121ffb2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Harry Sintonen de F-Secure Corporation a découvert plusieurs
vulnérabilités dans OpenSSH, une implémentation du protocole SSH. Toutes
les vulnérabilités ont été découvertes dans le client scp implémentant le
protocole SCP.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20685";>CVE-2018-20685</a>

<p>Du fait d'une mauvaise validation du nom de répertoire, le client scp
permet aux serveurs de modifier les droits du répertoire cible en utilisant
un nom vide ou constitué d'un point (« dot directory »).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-6109";>CVE-2019-6109</a>

<p>Du fait de l'absence d'encodage des caractères dans l'affichage de la
progression, le nom d'objet peut être utilisé pour manipuler la sortie du
client, par exemple pour employer des codes ANSI afin de cacher le
transfert de fichiers supplémentaires.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-6111";>CVE-2019-6111</a>

<p>Du fait d'une validation insuffisante des entrées du client scp des noms
de chemin envoyés par le serveur, un serveur malveillant peut effectuer
l'écrasement arbitraire de fichiers dans le répertoire cible. Si l'option
de récursivité (-r) est fournie, le serveur peut aussi manipuler des
sous-répertoires.</p>

<p>La vérification ajoutée à cette version peut conduire à une régression
si le client et le serveur ont des règles d'expansion des caractères
génériques différentes. Si le serveur est sûr à cette fin, la vérification
peut être désactivée en passant la nouvelle option -T au client scp.</p></li>

</ul>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 1:7.4p1-10+deb9u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssh.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de openssh, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/openssh";>\
https://security-tracker.debian.org/tracker/openssh</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4387.data"
# $Id: $