[RFR] wml://lts/security/2020/dla-223{3-9}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="bdf9b5119711c864f3b7e07f60cfe46fa05894b9" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert quâ??il existait un problème dans libpam-tacplus (un module
de sécurité pour le service dâ??authentification TACACS+) où les secrets partagés
tels que les clés privées de serveur étaient ajoutées en clair dans divers
journaux.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13881";>CVE-2020-13881</a>

<p>Il a été découvert quâ??il existait un problème dans libpam-tacplus (un module
de sécurité pour le service dâ??authentification TACACS+) où les secrets partagés
tels que les clés privées de serveur étaient ajoutées en clair dans divers
journaux.</p></li>


</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.3.8-2+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libpam-tacplus.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2239.data"
# $Id: $

#use wml::debian::translation-check translation="8edc5cf84759f795b4ebb7d1eb6715eabb955363" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Libupnp, le SDK portable pour les périphériques UPnP permet à des attaquants
distants de provoquer un déni de service (plantage) à l'aide d'un message SSDP
contrefait à  cause dâ??un déréférencement de pointeur NULL dans les fonctions
FindServiceControlURLPath et FindServiceEventURLPath dans
genlib/service_table/service_table.c. Ce plantage peut être provoqué en envoyant
un SUBSCRIBE ou UNSUBSCRIBE mal formé en utilisant nâ??importe quel fichier joint.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.6.19+git20141001-1+deb8u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libupnp.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2238.data"
# $Id: $

#use wml::debian::translation-check translation="044e496ff62bc4ab09480fd9c55ef5bf1de3990e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Les CVE suivants ont été rapportés concernant src:cups.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8842";>CVE-2019-8842</a>

<p>La fonction ippReadIO peut lire incomplètement un champ dâ??extension.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3898";>CVE-2020-3898</a>

<p>Il existait un dépassement de tampon de tas dans ppdFindOption() de libcups
dans ppd-mark.c. La fonction ppdOpen ne gérait pas la restriction dâ??UI non
autorisée. La fonction ppdcSource::get_resolution ne gérait pas les chaînes de
résolution non autorisée.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.7.5-11+deb8u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets cups.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2237.data"
# $Id: $

#use wml::debian::translation-check translation="bbc365d099412656bba84a2ba6512638df131d04" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité a été découverte dans graphicsmagick, une collection
dâ??outils de traitement dâ??image, conduisant à  un écrasement du tampon de tas lors
de lâ??agrandissement dâ??images MNG.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.3.20-3+deb8u11.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2236.data"
# $Id: $

#use wml::debian::translation-check translation="8ca2f9ee4f77953d340bf460e23918f2a3b96785" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert quâ??il existait une divulgation de descripteur de fichier
dans le bus de message D-Bus.</p>

<p>Un attaquant local non privilégié pourrait utiliser cela pour attaquer le
démon du système DBus, conduisant à un déni de service pour tous les
utilisateurs de la machine.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-12049";>CVE-2020-12049</a>

<p>Divulgation de descripteur de fichier dans _dbus_read_socket_with_unix_fds.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.8.22-0+deb8u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets dbus.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2235.data"
# $Id: $

#use wml::debian::translation-check translation="f06501c0d28e56630b8ef9e96e180d00ebd26066" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs bogues CVE concernant src:netqmail ont été signalés.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2005-1513";>CVE-2005-1513</a>

<p>Un dépassement d'entier dans la fonction stralloc_readyplus dans qmail, lors
dâ??une exécution sur une plateforme 64 bits avec une grande utilisation de
mémoire virtuelle, permet à des attaquants distants de provoquer un déni de
service et, éventuellement, dâ??exécuter du code arbitraire à  l'aide d'une requête
SMTP importante.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2005-1514";>CVE-2005-1514</a>

<p>La fonction commands.c dans qmail, lors dâ??une exécution sur une plateforme
64 bits avec une grande utilisation de mémoire virtuelle, permet à des
attaquants distants de provoquer un déni de service et, éventuellement,
dâ??exécuter du code arbitraire à  l'aide d'une longue commande SMTP sans caractère
espace, faisant quâ??un tableau soit référencé avec un indice négatif.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2005-1515";>CVE-2005-1515</a>

<p>Une erreur dâ??entiers signés dans les fonctions qmail_put et substdio_put dans
qmail, lors dâ??une exécution sur une plateforme 64 bits avec une grande
utilisation de mémoire virtuelle, permet à des attaquants distants de provoquer
un déni de service et, éventuellement, dâ??exécuter du code arbitraire à  l'aide
d'un grand nombre de commandes SMTP RCPT TO.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3811";>CVE-2020-3811</a>

<p>La fonction qmail-verify comme utilisée dans netqmail 1.06 est prédisposée à 
une vulnérabilité de contournement de vérification dâ??adresse de courriel.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3812";>CVE-2020-3812</a>

<p>La fonction qmail-verify comme utilisée dans netqmail 1.06 est prédisposée à 
une vulnérabilité de divulgation d'informations. Un attaquant local peut
tester lâ??existence des fichiers et répertoires dans tout le système de fichiers
car qmail-verify est exécutée en tant quâ??administrateur et teste lâ??existence de
fichiers dans le répertoire home de lâ??attaquant, sans diminuer dâ??abord ses
privilèges.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.06-6.2~deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets netqmail.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2234.data"
# $Id: $

#use wml::debian::translation-check translation="0f81c1fd3e5f3051ec10c7b021d80edc73ce94d8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert quâ??il existait deux problèmes dans
<a href="https://www.djangoproject.com/";>Django</a>, le cadriciel de
développement web en Python :</p>

<ul>
<li>
<a href="https://security-tracker.debian.org/tracker/CVE-2020-13254";>
CVE-2020-13254 : divulgation potentielle de données à  lâ??aide de clés memcached
mal formées.</a>

<p>Dans le cas où un dorsal memcached ne réalise pas une validation de clé,
le passage de clés mal formées en cache pourrait aboutir à une collision de clés
et un divulgation potentielle de données. Pour éviter cela, une validation de
clé a été ajoutée dans les dorsaux memcached de cache.</p>
</li>
<li>
<a href="https://security-tracker.debian.org/tracker/CVE-2020-13596";>
CVE-2020-13596 : XSS possible à l'aide d'un ForeignKeyRawIdWidget
dâ??administration.
</a>

<p>Les paramètres de requête pour ForeignKeyRawIdWidget dâ??administration
nâ??étaient pas proprement encodés pour lâ??URL, constituant un vecteur dâ??attaque
XSS. ForeignKeyRawIdWidget désormais assure que les paramètres de requête soient
correctement encodés pour lâ??URL.</p>
</li>
</ul>

<p>Pour plus dâ??informations, veuillez consulter
<a href="https://www.djangoproject.com/weblog/2020/jun/03/security-releases/";>lâ??annonce
de lâ??amont</a>.</p>

<p>Cette publication corrige aussi des échecs de test introduits dans
<tt>1.7.11-1+deb8u3</tt> et <tt>1.7.11-1+deb8u8</tt> par les correctifs
respectifs pour
<a href="https://security-tracker.debian.org/tracker/CVE-2019-19844";>CVE-2018-7537</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2019-19844";>CVE-2019-19844</a>.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.7.11-1+deb8u9.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2233.data"
# $Id: $