[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2020/dla-232{1-4}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="9db458c1dae9942c673cc29fb111342b63a605b3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Nouveaux paquets LTS</define-tag>
<define-tag moreinfo>
<p>Linux 4.19 a été empaqueté pour Debian 9 sous linux-4.19. Ce paquet fournit
une méthode de gestion de mise à niveau pour les systèmes qui utilisent
actuellement des paquets de noyau et de micrologiciel de la suite
« Stretch-backports ».</p>

<p>Cependant, « apt full-upgrade » nâ??installe *pas* automatiquement les paquets
de noyau mis à jour. Vous devez installer explicitement dâ??abord les métapaquets
suivants en fonction de votre système :</p>

<ul>
<li>linux-image-4.19-686</li>
<li>linux-image-4.19-686-pae</li>
<li>linux-image-4.19-amd64</li>
<li>linux-image-4.19-arm64</li>
<li>linux-image-4.19-armmp</li>
<li>linux-image-4.19-armmp-lpae</li>
<li>linux-image-4.19-cloud-amd64</li>
<li>linux-image-4.19-marvell</li>
<li>linux-image-4.19-rpi</li>
<li>linux-image-4.19-rt-686-pae</li>
<li>linux-image-4.19-rt-amd64</li>
<li>linux-image-4.19-rt-arm64</li>
<li>linux-image-4.19-rt-armmp</li>
</ul>

<p>Par exemple, si la commande « uname -r » présentement affiche
« 4.19.0-0.bpo.9-amd64 », vous devez installer linux-image-4.19-amd64.</p>

<p>Il nâ??est nul besoin de mettre à niveau les systèmes utilisant Linux 4.9,
car cette version de noyau sera prise en charge pendant toute la durée de la
période LTS.</p

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2324.data"
# $Id: $

#use wml::debian::translation-check translation="9db458c1dae9942c673cc29fb111342b63a605b3" maintainer="Jean-Paul Guillonneau"
<define-tag description>LTS paquets new</define-tag>
<define-tag moreinfo>
<p>Linux 4.19 a été empaqueté pour Debian 9 sous linux-4.19. Ce paquet fournit
une méthode de gestion de mise à niveau pour les systèmes qui utilisent
actuellement des paquets de noyau et de micrologiciel de la suite
« Stretch-backports ».</p>

<p>Il nâ??est nul besoin de mettre à niveau les systèmes utilisant Linux 4.9,
car cette version de noyau sera prise en charge pendant toute la durée de la
période LTS.</p>

<p>Ce rétroportage nâ??inclut pas les paquets binaires suivants :</p>

<blockquote>hyperv-daemons, libbpf-dev, libbpf4.19, libcpupower-dev, libcpupower1,
liblockdep-dev, liblockdep4.19, linux-compiler-gcc-6-arm,
linux-compiler-gcc-6-x86, linux-cpupower, linux-libc-dev, lockdep,
usbip.</blockquote>

<p>Les anciennes versions de la plupart de ceux-ci sont construites à partir du
paquet source linux dans Debian 9.</p>

<p>Les images et modules de noyau ne seront pas signés pour une utilisation sur
les systèmes avec le Secure Boot activé, car aucune prise en charge nâ??existe
pour cela dans Debian 9.</p>

<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à un déni de service ou une fuite d'informations.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-18814";>CVE-2019-18814</a>

<p>Navid Emamdoost a signalé une utilisation potentielle de mémoire après
libération dans le module de sécurité AppArmor dans le cas ou lâ??initialisation
de cette règle dâ??audit échouerait. Lâ??impact de sécurité est incertain.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-18885";>CVE-2019-18885</a>

<p>Lâ??équipe <q>bobfuzzer</q> a découvert que des volumes Btrfs contrefaits
pourraient déclencher un plantage (oops). Un attaquant capable de monter un tel
volume pourraient utiliser cela pour provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-20810";>CVE-2019-20810</a>

<p>Une fuite de mémoire potentielle a été découverte dans le pilote de média
go7007. Lâ??impact de sécurité est incertain.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-10766";>CVE-2020-10766</a>

<p>Anthony Steinhauser a signalé un défaut dans la mitigation pour « Speculative
Store Bypass »
(<a href="https://security-tracker.debian.org/tracker/CVE-2018-3639";>CVE-2018-3639</a>)
sur les CPU x86. Un utilisateur local pourrait utiliser cela pour désactiver
temporairement la mitigation SSB dans dâ??autres tâches dâ??utilisateur. Si ces
autres tâches exécutent du code confiné dans un bac à sable, cela permet à ce
code de lire des informations sensibles dans le même processus mais en dehors du
bac à sable.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-10767";>CVE-2020-10767</a>

<p>Anthony Steinhauser a signalé un défaut dans la mitigation pour la seconde
variante de Spectre
(<a href="https://security-tracker.debian.org/tracker/CVE-2017-5715";>CVE-2017-5715</a>)
sur les CPU x86. Selon les autres mitigations gérées par le CPU, le noyau peut ne
pas utiliser IBPB pour mitiger cette variante dans lâ??espace utilisateur. Un
utilisateur local pourrait utiliser cela pour lire des informations sensibles
dâ??autres processus utilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-10768";>CVE-2020-10768</a>

<p>Anthony Steinhauser a signalé un défaut dans la mitigation pour la seconde
variante de Spectre
(<a href="https://security-tracker.debian.org/tracker/CVE-2017-5715";>CVE-2017-5715</a>)
sur les CPU x86. Après quâ??une tâche ait forcé la désactivation de spéculation
indirecte de branche à travers prctl(), elle pourrait encore la réactiver plus
tard, aussi il nâ??était pas possible dâ??ignorer un programme qui lâ??activait de
manière explicite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-12655";>CVE-2020-12655</a>

<p>Zheng Bin a signalé que des volumes XFS contrefaits pourraient déclencher un
plantage du système. Un attaquant capable de monter de tel volume pourrait
utiliser cela pour provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-12771";>CVE-2020-12771</a>

<p>Zhiqiang Liu a signalé un bogue dans le pilote de bloc bcache qui pourrait
conduire à un plantage du système. Lâ??impact de sécurité est incertain.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13974";>CVE-2020-13974</a>

<p>Kyungtae Kim a signalé un dépassement d'entier potentiel dans le pilote vt
(virtual terminal). Lâ??impact de sécurité est incertain.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-15393";>CVE-2020-15393</a>

<p>Kyungtae Kim a signalé une fuite de mémoire dans le pilote usbtest.
Lâ??impact de sécurité est incertain..</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 4.19.132-1~deb9u1. De plus, cette mise à jour corrige les bogues
de Debian <a href="https://bugs.debian.org/958300";>n° 958300</a>,
<a href="https://bugs.debian.org/960493";>n° 960493</a>,
<a href="https://bugs.debian.org/962254";>n° 962254</a>,
<a href="https://bugs.debian.org/963493";>n° 963493</a>,
<a href="https://bugs.debian.org/964153";>n= 964153</a>,
<a href="https://bugs.debian.org/964480";>n° 964480</a>,
<a href="https://bugs.debian.org/965365";>n° 965365</a> et inclus beaucoup
dâ??autres corrections de bogue  des mise à jour de stable, versions 4.19.119
à 4.19.132.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux-4.19.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de linux-4.19, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/linux-4.19";>https://security-tracker.debian.org/tracker/linux-4.19</a></p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2323.data"
# $Id: $

#use wml::debian::translation-check translation="5cdeee0b9e8c7da2d5aa2ccb9b9ea74044026b6c" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans roundcube, une solution web de
messagerie personnalisable et basée sur AJAX pour les serveurs IMAP. Les messages
HTML avec du contenu math ou svg malveillant peuvent exploiter une vulnérabilité
de script intersite (XSS).</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 1.2.3+dfsg.1-4+deb9u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets roundcube.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de roundcube, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/roundcube";>https://security-tracker.debian.org/tracker/roundcube</a></p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2322.data"
# $Id: $

#use wml::debian::translation-check translation="9db458c1dae9942c673cc29fb111342b63a605b3" maintainer="Jean-Paul Guillonneau"
<define-tag description>LTS new upstream version</define-tag>
<define-tag moreinfo>
<p>Le paquet firmware-nonfree a été mis à jour pour inclure dâ??autres
micrologiciels pouvant être nécessaires à certains pilotes dans Linux 4.19.</p>

<p>Avec des paquets de noyau supplémentaires qui seront annoncés plus tard, cela
fournit une méthode de gestion de mise à niveau pour les systèmes qui utilisent
actuellement des paquets de noyau et de micrologiciel de la suite
« Stretch-backports ».</p>

<p>Cette mise à jour nâ??est pas destinée à corriger des problèmes de sécurité.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2321.data"
# $Id: $
Reply to: