[RFR] wml://lts/security/2020/dla-226{4,5,8,8\-2}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="6211000a2584c0c0eae18e6bfa2cd6a184acfb4e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Deux vulnérabilités ont été découvertes dans mutt, un client de courriel en
console.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14093";>CVE-2020-14093</a>

<p>Mutt permettait une attaque de type « homme du milieu » sur fcc/postpone
dâ??IMAP à  l'aide d'une réponse PREAUTH.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14954";>CVE-2020-14954</a>

<p>Mutt possédait un problème de mise en tampon de STARTTLS qui affectait IMAP,
SMTP et POP3. Lorsque le serveur avait envoyé une réponse <q>begin TLS</q>, le
client lisait des données supplémentaires (par exemple, à  partir dâ??une attaque
dâ??homme du milieu) et les évaluait dans un contexte TLS, c'est-à -dire « response
injection ».</p></li>

</ul>

<p>Dans Jessie de Debian, le paquet source mutt construit deux variantes de mutt :
mutt et mutt-patched.</p>

<p>La précédente version du paquet (1.5.23-3+deb8u2, DLA-2268-1) fournissait des
correctifs pour les problèmes cités ci-dessus, mais étaient appliqués uniquement
sur la construction de paquet mutt-patched, mais pas sur la construction du
paquet mutt (vanilla).</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.5.23-3+deb8u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mutt.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2268-2.data"
# $Id: $

#use wml::debian::translation-check translation="044f0b378d1e97d512ed4133d9cfa3de84daad8b" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Deux vulnérabilités ont été découvertes dans mutt, un client de courriel en
console.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14093";>CVE-2020-14093</a>

<p>Mutt permettait une attaque de type « homme du milieu » sur fcc/postpone
dâ??IMAP à  l'aide d'une réponse PREAUTH.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14954";>CVE-2020-14954</a>

<p>Mutt possédait un problème de mise en tampon de STARTTLS qui affectait IMAP,
SMTP et POP3. Lorsque le serveur avait envoyé une réponse <q>begin TLS</q>, le
client lisait des données supplémentaires (par exemple, à  partir dâ??une attaque
dâ??homme du milieu) et les évaluait dans un contexte TLS, c'est-à -dire « response
injection ».</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.5.23-3+deb8u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mutt.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2268.data"
# $Id: $

#use wml::debian::translation-check translation="98b706e994de63bc9afcdd15e013985b8cfc4c94" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>GNU Mailman permettait une injection arbitraire de contenu à  lâ??aide de
Cgi/private.py de « Private archive login page ».</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1:2.1.18-2+deb8u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mailman.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2265.data"
# $Id: $

#use wml::debian::translation-check translation="874b7a827053e059c3b08e991a12da214544f123" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans libVNC (paquet Debian
libvncserver), une implémentation du protocole client et serveur VNC.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-20839";>CVE-2019-20839</a>

<p>libvncclient/sockets.c dans LibVNCServer possédait un dépassement de tampon à 
l'aide d'un nom long de fichier de socket.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14397";>CVE-2020-14397</a>

<p>libvncserver/rfbregion.c possédait un déréférencement de pointeur NULL.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14399";>CVE-2020-14399</a>

<p>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14400";>CVE-2020-14400</a>

<p>Un accès à des données alignées selon les octets (byte-aligned) était
possible à travers des pointeurs uint16_t dans libvncserver/translate.c.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14401";>CVE-2020-14401</a>

<p>libvncserver/scale.c possédait un dépassement dâ??entier dans pixel_value.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14402";>CVE-2020-14402</a>

<p>libvncserver/corre.c permettait un accès hors limites à  lâ??aide dâ??encodages.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14403";>CVE-2020-14403</a>

<p>libvncserver/hextile.c permettait un accès hors limites à  lâ??aide dâ??encodages.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14404";>CVE-2020-14404</a>

<p>libvncserver/rre.c permettait un accès hors limites à  lâ??aide dâ??encodages.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14405";>CVE-2020-14405</a>

<p>libvncclient/rfbproto.c ne limitait pas la taille de TextChat.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 0.9.9+dfsg2-6.1+deb8u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libvncserver.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2264.data"
# $Id: $