[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla-20{27,28,29,30}.wml



Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul
#use wml::debian::translation-check translation="ce2a79781115fe3877c44b0c13ae9efa1913869e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dâ??autre défauts de désérialisation ont été découverts dans jackson-databind
qui pourraient permettre à un utilisateur non authentifié de réaliser une
exécution de code à distance. Le problème a été résolu en étendant la liste
noire et en bloquant plus de classes de désérialisation polymorphique .</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.4.2-2+deb8u10.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jackson-databind.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2030.data"
# $Id: $
#use wml::debian::translation-check translation="b6db2294f879f66c532fd3d15362c4c50dfe940c" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web
Firefox de Mozilla qui pourraient éventuellement aboutir à l'exécution de code
arbitraire.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 68.3.0esr-1~deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2029.data"
# $Id: $
#use wml::debian::translation-check translation="2388531cb418a0b2ed18b0f34df9279b0bae460a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Squid, un serveur mandataire et de cache de haute performance pour des
clients web, était affecté par les vulnérabilités de sécurité suivantes.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-12526";>CVE-2019-12526</a>

<p>Le traitement de réponse à un URN dans Squid souffrait dâ??un dépassement de
tampon basé sur le tas. Lors de la réception de données dâ??un serveur distant
la réponse à une requête dâ??URN, Squid échouait à assurer que la réponse pouvait
être contenue dans le tampon. Cela conduisait à des données contrôlées par
lâ??attaquant débordant du tas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-18677";>CVE-2019-18677</a>

<p>Lorsque le réglage append_domain est utilisé (dû aux caractères ajoutés
nâ??interagissant pas correctement avec les restrictions de longueur de nom
dâ??hôte), il pouvait de manière inappropriée rediriger le trafic vers des sources
non prévues. Cela se produit à cause du traitement incorrect du message.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-18678";>CVE-2019-18678</a>

<p>Une erreur de programmation permet à des attaquants de transférer
illégalement des requêtes HTTP au travers du logiciel dâ??interface vers une
instance Squid qui fractionne la tuyauterie des requêtes HTTP différemment,
aboutissant à des caches corrompus de réponse de message (entre un client et
Squid) à lâ??aide de contenu contrôlé par lâ??attaquant dans des URL arbitraires.
Les effets sont isolés du logiciel entre le client de lâ??attaquant et Squid.
Il nâ??y a pas dâ??effets sur Squid lui-même, ni sur aucun serveur amont. Ce
problème concerne un en-tête de requête contenant une espace entre un nom
dâ??en-tête et un deux-points.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-18679";>CVE-2019-18679</a>

<p>Dû à une gestion incorrecte de données, Squid est sujet à une divulgation
d'informations lors du traitement de « Digest Authentication » HTTP.
Des jetons créés pour lâ??occasion contiennent la valeur brute dâ??octets dâ??un
pointeur se trouvant dans lâ??allocation de mémoire de tas. Cette information
réduit les protections ASLR et peut aider des attaquants à isoler des zones de
mémoire à exploiter pour des attaques dâ??exécution de code à distance.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 3.4.8-6+deb8u9.</p>

<p>Nous vous recommandons de mettre à jour vos paquets squid3.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2028.data"
# $Id: $
#use wml::debian::translation-check translation="f70b944f5b46611a9a1739f8413de4db72ed7e8a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été trouvées dans Ruby qui
affectaient le paquet JRuby de Debian, une implémentation de Ruby en Java pur.
Des attaquants pouvaient appeler des méthodes arbitraires de Ruby, causer un
déni de service ou injecter une entrée dans des en-têtes de réponse HTTP lors
de lâ??utilisation du module WEBrick.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.5.6-9+deb8u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jruby.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2027.data"
# $Id: $

Reply to: