[RFR] wml://lts/security/2019/dla-19{69,71,72,74,75,76,77,78,79}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="3918b0d45e0d283f86118204cd22dda8427cf069" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été identifiées dans le code VNC de iTALC, un
logiciel de gestion dâ??enseignement. Toutes les vulnérabilités référencées
ci-dessous sont des problèmes qui ont été signalés à lâ??origine pour le paquet
source libvncserver. Le paquet source italc dans Debian fournit une version
personnalisée de libvncserver, par conséquent les corrections de sécurité de
libvncserver nécessitent un portage.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6051";>CVE-2014-6051</a>
<p>Un dépassement dâ??entier dans la fonction MallocFrameBuffer dans vncviewer.c
dans LibVNCServer permettait à des serveurs VNC distants de provoquer un déni de
service (plantage) et éventuellement lâ??exécution de code arbitraire code Ã
l'aide d'une annonce pour une taille dâ??écran très grande qui déclenchait un
dépassement de tampon basé sur le tas.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6052";>CVE-2014-6052</a>
<p>La fonction HandleRFBServerMessage dans libvncclient/rfbproto.c dans
LibVNCServer ne vérifiait pas certaines valeurs malloc de renvoi, qui permettait
à des serveurs VNC distants de provoquer un déni de service (plantage
d'application) ou éventuellement dâ??exécuter du code arbitraire en indiquant une
taille dâ??écran très grande dans un message (1) FramebufferUpdate,
(2)Â ResizeFrameBuffer, ou (3)Â PalmVNCReSizeFrameBuffer.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6053";>CVE-2014-6053</a>
<p>La fonction rfbProcessClientNormalMessage dans libvncserver/rfbserver.c dans
LibVNCServer ne gérait pas correctement les tentatives dâ??envoi dâ??un grand
montant de données ClientCutText, qui permettait à des attaquants distants
de provoquer un déni de service (consommation de mémoire ou plantage du démon) Ã
l'aide d'un message contrefait qui était traité en utilisant un seul malloc
non vérifié.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6054";>CVE-2014-6054</a>
<p>La fonction rfbProcessClientNormalMessage dans libvncserver/rfbserver.c dans
LibVNCServer permettait à des attaquants distants de provoquer un déni de
service (erreur de division par zéro et plantage du serveur) à l'aide d'une
valeur zéro dans le facteur dâ??échelle dans un message (1) PalmVNCSetScaleFactor
ou (2)Â SetScale.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6055";>CVE-2014-6055</a>
<p>Plusieurs dépassements de pile dans la fonction de transfert de fichier dans
rfbserver.c dans LibVNCServer permettaient à des utilisateurs distants
authentifiés de provoquer un déni de service (plantage) et éventuellement
dâ??exécuter du code arbitraire à l'aide d'un (1) long fichier ou (2) nom de
répertoire ou (3) lâ??attribut FileTime dans un message rfbFileTransferOffer.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9941";>CVE-2016-9941</a>
<p>Un dépassement de tampon basé sur le tas dans rfbproto.c dans LibVNCClient
dans LibVNCServer permettait à un serveur distant de provoquer un déni de
service (plantage d'application) ou éventuellement dâ??exécuter du code arbitraire
à l'aide d'un message contrefait FramebufferUpdate contenant un sous-rectangle
en dehors de lâ??aire de dessin du client.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9942";>CVE-2016-9942</a>
<p>Un dépassement de tampon basé sur le tas dans ultra.c dans LibVNCClient dans
LibVNCServer permettait à un serveur distant de provoquer un déni de service
(plantage d'application) ou éventuellement dâ??exécuter du code arbitraire Ã
l'aide d'un message contrefait FramebufferUpdate avec une tuile de type Ultra,
de telle façon que la longueur de charge LZO décompressée excédait les
dimensions indiquées de tuile.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6307";>CVE-2018-6307</a>
<p>LibVNC contenait une vulnérabilité dâ??utilisation de tas après libération dans
le code de serveur de lâ??extension de transfert de fichier qui pourrait aboutir Ã
une exécution de code à distance.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7225";>CVE-2018-7225</a>
<p>Un problème a été découvert dans LibVNCServer.
rfbProcessClientNormalMessage() dans rfbserver.c ne nettoyait pas msg.cct.length,
conduisant à un accès à des données non initialisées et éventuellement sensibles
ou éventuellement avoir un autre impact non précisé (par exemple, un dépassement
d'entier) Ã lâ??aide de paquets VNC contrefaits pour l'occasion.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-15126";>CVE-2018-15126</a>
<p>LibVNC contenait une vulnérabilité dâ??utilisation de tas après libération dans
le code de serveur de lâ??extension de transfert de fichier qui pouvait aboutir
à une exécution de code à distance.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-15127";>CVE-2018-15127</a>
<p>LibVNC contenait une vulnérabilité dâ??écriture de tas hors limites dans
le code de serveur de lâ??extension de transfert de fichier qui pouvait aboutir
à une exécution de code à distance.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20749";>CVE-2018-20749</a>
<p>LibVNC contenait une vulnérabilité dâ??écriture de tas hors limites dans
libvncserver/rfbserver.c. Le correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2018-15127";>CVE-2018-15127</a>
était incomplet.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20750";>CVE-2018-20750</a>
<p>LibVNC contenait une vulnérabilité dâ??écriture de tas hors limites dans
libvncserver/rfbserver.c. Le correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2018-15127";>CVE-2018-15127</a>
était incomplet.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20019";>CVE-2018-20019</a>
<p>LibVNC contenait plusieurs vulnérabilités dâ??écriture de tas hors limites dans
le code VNC de client qui pourrait aboutir à lâ??exécution de code à distance</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20748";>CVE-2018-20748</a>
<p>LibVNC contenait plusieurs vulnérabilités dâ??écriture de tas hors limites dans
libvncclient/rfbproto.c. Le correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2018-20019";>CVE-2018-20019</a>
était incomplet.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20020";>CVE-2018-20020</a>
<p>LibVNC contenait une vulnérabilité dâ??écriture de tas hors limites dans une
structure dans le code VNC de client qui pourrait aboutir à lâ??exécution de code
à distance</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20021";>CVE-2018-20021</a>
<p>LibVNC contenait une CWE-835 : vulnérabilité de boucle infinie dans le code
VNC de client. Cette vulnérabilité permet à un attaquant de consommer un mentant
excessif de ressources telles que de CPU et RAM</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20022";>CVE-2018-20022</a>
<p>LibVNC contenait plusieurs faiblesses CWE-665 : vulnérabilité dâ??initialisation
dans le code VNC de client qui permettaient être des attaquants de lire la
mémoire de pile et pourrait être abusé pour divulguer des informations.
Combinées avec une autre vulnérabilité, cela pourrait être utilisé pour
divulguer la disposition de mémoire de pile et dans un contournement ASLR.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20023";>CVE-2018-20023</a>
<p>LibVNC contenait une CWE-665 : vulnérabilité dâ??initialisation incorrecte dans le
code VNC de client Repeater, qui permettait à un attaquant de lire la mémoire de
pile et pourrait être abusé pour divulguer des informations. Combinée avec une
autre vulnérabilité, cela pourrait être utilisé pour divulguer la disposition de
mémoire de pile et dans un contournement ASLR.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20024";>CVE-2018-20024</a>
<p>LibVNC contenait un déréférencement de pointeur NULL dans le code VNC de
client qui pourrait aboutir à un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15681";>CVE-2019-15681</a>
<p>LibVNC contenait une fuite de mémoire (CWE-655) dans le code VNC de serveur
qui permettait à un attaquant de lire la mémoire de pile et pourrait être abusé
pour divulguer des informations. Combinée avec une autre vulnérabilité, cela
pourrait être utilisé pour divulguer la mémoire de pile et dans un contournement
ASLR. Cette attaque apparaissait être exploitable à lâ??aide de la connexion au
réseau.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1:2.0.2+dfsg1-2+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets italc.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1979.data"
# $Id: $
#use wml::debian::translation-check translation="c7d7fff9e492c5a5172950f1bb3e321f78aa48c8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>python-ecdsa, une bibliothèque de chiffrement de signature pour Python, ne
vérifiait pas correctement les signatures chiffrées avec DER. Des signatures
malformées pourraient conduire à des exceptions inattendues et dans quelques
cas ne soulevaient pas dâ??exception.</p>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 0.11-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python-ecdsa.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1978.data"
# $Id: $
#use wml::debian::translation-check translation="5604277235424442da2fc504714ab248acde9e70" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>LibVNC contenait une fuite de mémoire (CWE-655) dans le code de serveur VNC
qui permettait à un attaquant de lire la mémoire de pile et pourrait être
abusé pour une divulgation d'informations.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 0.9.9+dfsg2-6.1+deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libvncserver.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1977.data"
# $Id: $
#use wml::debian::translation-check translation="e12121cd3a8de6ab32391a5f1fb5e4473eccc5eb" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Lâ??outil imapfilter, un utilitaire de scriptage dâ??opérations IMAP en Lua,
nâ??avait pas de prise en charge de validation de nom de serveur et de nom dâ??hôte
dans le certificat de pair.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1:2.5.2-2+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets imapfilter.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1976.data"
# $Id: $
#use wml::debian::translation-check translation="c1a08cd900888b8d71b33bf81e3402652481bcff" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>SPIP, un moteur de publication pour site web, permettrait à un utilisateur
non authentifié de modifier le contenu publié et écrire dans la base de données,
de réaliser des contrefaçons de requête intersite et dâ??énumérer les utilisateurs
enregistrés.</p>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 3.0.17-2+deb8u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets spip.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1975.data"
# $Id: $
#use wml::debian::translation-check translation="293eb386e920b89266e63368e52f00b34fff43fc" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un problème a été découvert dans proftp-dfsg, un démon polyvalent dâ??hôtes
virtuels FTP.</p>
<p>Ã? cause dâ??un traitement incorrect de commandes excessivement longues, un
utilisateur distant non authentifié pourrait déclencher un déni de service
en obtenant une boucle infinie.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.3.5e+r1.3.5-2+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets proftpd-dfsg.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1974.data"
# $Id: $
#use wml::debian::translation-check translation="06fbd733f9ff29d720153252bef22c786a811b3b" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans mosquitto, un courtier de message
compatible MQTT version 3.1/3.1.1.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7655";>CVE-2017-7655</a>
<p>Une vulnérabilité de déréférencement de pointeur NULL dans la bibliothèque
Mosquitto pourrait conduire à des plantages pour ces applications utilisant la
bibliothèque.</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12550";>CVE-2018-12550</a>
<p>Un fichier dâ??ACL avec aucune déclaration était traité comme ayant une
politique allow par défaut. Le nouveau comportement dâ??un fichier vide
est une politique dâ??accès denied par défaut (cela est en conformité avec toutes
les nouvelles publications).</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12551";>CVE-2018-12551</a>
<p>Des données dâ??authentification mal formées dans le fichier de mot de passe
pourraient permettre aux clients de contourner lâ??authentification et obtenir un
accès au courtier.</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11779";>CVE-2019-11779</a>
<p>Correction pour traiter un paquet contrefait SUBSCRIBE contenant un sujet
consistant en approximativement 65400 ou plus caractères « / »
(réglant TOPIC_HIERARCHY_LIMIT à  200)</p>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.3.4-2+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mosquitto.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1972.data"
# $Id: $
#use wml::debian::translation-check translation="71299afea8ab0fdda4bd973db7e3fb7b3c77893a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un problème a été découvert dans libarchive, une bibliothèque dâ??archive
multi-format et de compression.</p>
<p>Dans le cas où une archive contrefaite contient plusieurs parties et quâ??une
partie est corrompue, il y aura une utilisation de mémoire après libération pour
la partie suivante de lâ??archive.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 3.1.2-11+deb8u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libarchive.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1971.data"
# $Id: $
#use wml::debian::translation-check translation="eb5b9624cb16305aa7a0157413dd32b8fa163156" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un problème a été découvert dans file, un outil pour déterminer le type de
fichier en utilisant les nombres magiques.</p>
<p>Le nombre dâ??éléments CDF_VECTOR doit être restreint afin de prévenir
un dépassement de tampon basé sur le tas (écriture de 4 octets hors limites).</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1:5.22+15-2+deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets file.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1969.data"
# $Id: $
Reply to: