[RFR] wml://lts/security/2020/dla-23{47,48,49,50,51,52,56}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="7627f353ed3c540adb08648921798cec349472c8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été signalées à lâ??encontre de FreeRDP, une mise
en Å?uvre au code source ouvert de serveur et de client au protocole RDP de
Microsoft.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0791";>CVE-2014-0791</a>
<p>Un dépassement d'entier dans la fonction license_read_scope_list dans
libfreerdp/core/license.c dans FreeRDP permettait à des serveurs RDP distants
de provoquer un déni de service (plantage d'application) ou, éventuellement,
dâ??avoir un impact non précisé à l'aide d'une grande valeur ScopeCount dans une
Scope List dans un paquet Server License Request.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11042";>CVE-2020-11042</a>
<p>Dans FreeRDP, il existait une lecture hors limites dans update_read_icon_info.
Elle permettait de lire un montant défini par lâ??attaquant de mémoire client
(32 bits non signé -> 4GB) dâ??un tampon intermédiaire. Cela pourrait avoir été
utilisé pour planter le client ou stocker de lâ??information pour une récupération
ultérieure.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11045";>CVE-2020-11045</a>
<p>Dans FreeRDP, il existait une lecture hors limites dans
update_read_bitmap_data qui permettait une lecture de la mémoire client dâ??un
tampon image. Le résultat était affiché en couleur sur lâ??écran.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11046";>CVE-2020-11046</a>
<p>Dans FreeRDP, il existait une recherche de flux hors limites dans
update_read_synchronize qui pouvait conduire à une lecture ultérieure hors
limites.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11048";>CVE-2020-11048</a>
<p>Dans FreeRDP, il existait une lecture hors limites. Elle permettait
dâ??interrompre une session. Aucune extraction de données nâ??était possible.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11058";>CVE-2020-11058</a>
<p>Dans FreeRDP, une recherche de flux hors limites dans
rdp_read_font_capability_set pouvait conduire à une lecture ultérieure hors
limites. En conséquence, un serveur ou un client manipulé pouvait être obligé de
se déconnecter à cause dâ??une lecture non valable de données.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11521";>CVE-2020-11521</a>
<p>libfreerdp/codec/planar.c dans FreeRDP avait une écriture hors limites.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11522";>CVE-2020-11522</a>
<p>libfreerdp/gdi/gdi.c dans FreeRDP avait une lecture hors limites.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11523";>CVE-2020-11523</a>
<p>libfreerdp/gdi/region.c dans FreeRDP avait un dépassement d'entier.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11525";>CVE-2020-11525</a>
<p>libfreerdp/cache/bitmap.c dans FreeRDP avait une lecture hors limites.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11526";>CVE-2020-11526</a>
<p>libfreerdp/core/update.c dans FreeRDP avait une lecture hors limites.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13396";>CVE-2020-13396</a>
<p>Une vulnérabilité de lecture hors limites (OOB) a été détectée dans
ntlm_read_ChallengeMessage dans winpr/libwinpr/sspi/NTLM/ntlm_message.c.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13397";>CVE-2020-13397</a>
<p>Une vulnérabilité de lecture hors limites (OOB) a été détectée dans
security_fips_decrypt dans libfreerdp/core/security.c due à une valeur non
initialisée.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13398";>CVE-2020-13398</a>
<p>Une vulnérabilité de lecture hors limites (OOB) a été détectée dans
crypto_rsa_common dans libfreerdp/crypto/crypto.c.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1.1.0~git20140921.1.440916e+dfsg1-13+deb9u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets freerdp.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de freerdp, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/freerdp";>https://security-tracker.debian.org/tracker/freerdp</a>.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2356.data"
# $Id: $
#use wml::debian::translation-check translation="a75ba607468cfe0a5654eb463c3570a389c465e4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le module File Manager (gollem) dans le logiciel de groupe de travail Horde
permettait à des attaquants distants de contourner lâ??authentification par Horde
dâ??un fichier téléchargé à l'aide d'un paramètre façonné qui correspondait
exactement au nom exact de fichier.</p>
<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 3.0.10-1+deb9u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php-horde-gollem.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de php-horde-gollem, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/php-horde-gollem";>https://security-tracker.debian.org/tracker/php-horde-gollem</a>.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2352.data"
# $Id: $
#use wml::debian::translation-check translation="a75ba607468cfe0a5654eb463c3570a389c465e4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>DDans le logiciel de groupe de travail Horde, il existait une vulnérabilité de
script intersite (XSS) qui pouvait être exploitée à lâ??aide du champ URL dans une
opération « Calendar -> New Event ».</p>
<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 4.2.19-1+deb9u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php-horde-kronolith.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de php-horde-kronolith, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/php-horde-kronolith";>https://security-tracker.debian.org/tracker/php-horde-kronolith</a>.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2351.data"
# $Id: $
#use wml::debian::translation-check translation="a75ba607468cfe0a5654eb463c3570a389c465e4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dans le logiciel de groupe de travail Horde, il existait une vulnérabilité de
script intersite (XSS) à lâ??aide du champ Name lors de la création dâ??une nouvelle
Resource. Cela pourrait avoitr été exploité pour lâ??exécution de code à distance
après la compromission dâ??un compte dâ??administrateur, à cause de la possibilité
de contournement du mécanisme de protection CSRF
(<a href="https://security-tracker.debian.org/tracker/CVE-2015-7984";>CVE-2015-7984</a>).</p>
<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 4.2.19-1+deb9u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php-horde-kronolith.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de php-horde-kronolith, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/php-horde-kronolith";>https://security-tracker.debian.org/tracker/php-horde-kronolith</a>.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2350.data"
# $Id: $
#use wml::debian::translation-check translation="a75ba607468cfe0a5654eb463c3570a389c465e4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dans le logiciel de groupe de travail Horde, il existait une vulnérabilité de
script intersite (XSS) dans deux composants à lâ??aide du champ Color dans
lâ??opération Create Task List.</p>
<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 5.2.13+debian0-1+deb9u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php-horde.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de php-horde, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/php-horde";>https://security-tracker.debian.org/tracker/php-horde</a>.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2349.data"
# $Id: $
#use wml::debian::translation-check translation="a75ba607468cfe0a5654eb463c3570a389c465e4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dans le logiciel de groupe de travail Horde, il existait une vulnérabilité de
script intersite (XSS) dans deux composants à lâ??aide du champ Color dans
lâ??opération Create Task List.</p>
<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 2.27.6+debian1-2+deb9u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php-horde-core.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de php-horde-core, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/php-horde-core";>https://security-tracker.debian.org/tracker/php-horde-core</a>.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2348.data"
# $Id: $
#use wml::debian::translation-check translation="cb938baac9814c55250bf1b4ab272f9c64e7d963" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités mineures ont été découvertes dans libvncserver,
une mise en Å?uvre de serveur et de client pour le protocole VNC.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-20839";>CVE-2019-20839</a>
<p>libvncclient/sockets.c dans LibVNCServer possédait un dépassement de tampon
à l'aide d'un nom de fichier de socket long.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14397";>CVE-2020-14397</a>
<p>libvncserver/rfbregion.c possédait un déréférencement de pointeur NULL.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14399";>CVE-2020-14399</a>
<p>Les données alignées sur des octets étaient obtenues à travers de pointeurs
uint32_t dans libvncclient/rfbproto.c.</p>
<p>NOTE : ce problème a été sujet à controverses par des tierces parties. Il
nâ??existe pas de signalement de franchissement de niveau de confiance (<q>no
trust boundary crossed</q>)</q>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14400";>CVE-2020-14400</a>
<p>Les données alignées sur des octets étaient obtenues à travers de pointeurs
uint16_t dans libvncserver/translate.c.</p>
<p>NOTE : ce problème a été sujet à controverses par des tierces parties. Il
nâ??existe pas de chemin connu pour une exploitation ou un franchissement de
niveau de confiance.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14401";>CVE-2020-14401</a>
<p>libvncserver/scale.c possédait un dépassement dâ??entier dans pixel_value.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14402";>CVE-2020-14402</a>
<p>libvncserver/corre.c permettait un accès hors limites à lâ??aide dâ??encodages.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14403";>CVE-2020-14403</a>
<p>libvncserver/hextile.c permettait un accès hors limites à lâ??aide dâ??encodages.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14404";>CVE-2020-14404</a>
<p>libvncserver/rre.c permettait un accès hors limites à lâ??aide dâ??encodages.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-14405";>CVE-2020-14405</a>
<p>libvncclient/rfbproto.c ne limitait pas la taille de TextChat.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 0.9.11+dfsg-1.3~deb9u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libvncserver.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de libvncserver, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/libvncserver";>https://security-tracker.debian.org/tracker/libvncserver</a>.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2347.data"
# $Id: $
Reply to:
- Prev by Date:
Re: [RFR] wml://security/2020/dsa-475{3,4,5,6}.wml
- Next by Date:
Re: [RFR] wml://lts/security/2020/dla-23{47,48,49,50,51,52,56}.wml
- Previous by thread:
[RFR2] wml://News/2020/20200830.wml
- Next by thread:
Re: [RFR] wml://lts/security/2020/dla-23{47,48,49,50,51,52,56}.wml
- Index(es):