[RFR2] wml://lts/security/2020/dla-240{2,5}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

le lundi 12 octobre 17:17, daniel.malgorn@laposte.net a écrit :


>suggestions,

Merci Daniel, en partie reprises.
Panic est synonyme de plantage ici :
https://github.com/golang/crypto/commit/bac4c82f69751a6dd76e702d54b3ceb88adab236
https://en.wiktionary.org/wiki/panic

Les fichiers sont aussi ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Autre chance de commentaire.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="f4a51f158a9622c93ef970f8154be30c8e30b8fe" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo></p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11840";>CVE-2019-11840</a>

<p>Un problème a été découvert dans la bibliothèque complémentaire de
chiffrement de Go, c'est-Ã -dire, golang-googlecode-go-crypto. Si plus de 256Â GiB
de séquences de clés sont générés ou si le compteur dépasse 32 bits,
lâ??implémentation dâ??amd64 générera dâ??abord une sortie incorrecte, puis reviendra
à  la séquence précédente. Des répétitions dâ??octets de séquence peuvent conduire
à une perte de confidentialité dans les applications de chiffrement ou à une
prédictibilité dans les applications CSPRNG.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11841";>CVE-2019-11841</a>

<p>Un problème de contrefaçon de message a été découvert dans
crypto/openpgp/clearsign/clearsign.go dans les bibliothèques complémentaires de
chiffrement de Go. Lâ??en-tête <q>Hash</q> dâ??Armor précise le(s) algorithme(s) de
hachage cryptographique utilisé(s) pour les signatures. �tant donné que la
bibliothèque omet en général lâ??analyse de lâ??en-tête dâ??Armor, un attaquant peut
non seulement embarquer des en-têtes arbitraires dâ??Armor, mais aussi ajouter en
début du texte arbitraire aux messages en clair sans invalider les signatures.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9283";>CVE-2020-9283</a>

<p>La fonction golang.org/x/crypto permet un plantage lors de la vérification de
signature dans le paquet golang.org/x/crypto/ssh. Un client peut attaquer un
serveur SSH acceptant des clés publiques. De plus, un serveur peut attaquer
nâ??importe quel client SSH.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1:0.0~git20170407.0.55a552f+REALLY.0.0~git20161012.0.5f31782-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets golang-go.crypto.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de golang-go.crypto, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/golang-go.crypto";>https://security-tracker.debian.org/tracker/golang-go.crypto</a>.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2402.data"
# $Id: $