[RFR] wml://lts/security/2021/dla-255{0,2,3,4,5}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="343fa0cd30d7d857590aa2cea3df39f1ececae6a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert qu’il existait deux problèmes dans la branche 1.0 du
système de chiffrement OpenSSL.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23840";>CVE-2021-23840</a>
<p>Les appels à EVP_CipherUpdate, EVP_EncryptUpdate et EVP_DecryptUpdate pouvaient
dépasser l’argument de longueur de sortie dans certains cas où la longueur de
l’entrée est proche de la longueur totale permise pour un entier sur la
plateforme. Dans de tels cas, la valeur de retour de l’appel de fonction
serait 1 (indication de réussite) mais la valeur de longueur de sortie serait
négative. Cela pourrait causer les applications à se comporter incorrectement
ou à planter. OpenSSL versions 1.1.1i et précédentes sont affectées par ce
problème. Les utilisateurs de telles versions devraient mettre à niveau vers
OpenSSL 1.1.1j. OpenSSL versions 1.0.2x et précédentes sont affectées par ce
problème. Cependant, OpenSSL 1.0.2 n’est plus pris en charge et ne reçoit
plus de mises à jour publiques. Les utilisateurs de la prise en charge Premium
d’OpenSSL 1.0.2 devraient mettre à niveau vers la version 1.0.2y. Les autres
utilisateurs devraient le faire vers la version 1.1.1j. Problème corrigé dans
OpenSSL 1.1.1j (version affectée 1.1.1-1.1.1i). Problème corrigé dans
OpenSSL 1.0.2y (versions affectées 1.0.2-1.0.2x).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23841";>CVE-2021-23841</a>
<p>La fonction de l’API publique d’OpenSSL X509_issuer_and_serial_hash() essaie
de créer une valeur d’hachage unique basée sur l’émetteur et les données de
numéro de série contenues dans le certificat X509. Cependant elle échoue à gérer
correctement toute erreur survenant lors de l’analyse le champ de l’émetteur
(ce qui peut se produire si le champ de l’émetteur est malveillant). Cela peut
résulter dans un déréférencement de pointeur NULL et un plantage conduisant
à attaque possible par déni de service.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1.0.2u-1~deb9u4. Pour les modifications équivalentes dans la
branche 1.1, veuillez consulter l’annonce DLA-2563-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssl1.0.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2565.data"
# $Id: $
#use wml::debian::translation-check translation="29764ac3c02e2e15048c7eb4eae96aa68c64a0bb" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Alex Birnberg a découvert une vulnérabilité de script intersite (XSS) dans
le cadriciel d’applications Horde, plus précisément dans son API Text Filter.
Un attaquant pourrait contrôler la boîte aux lettres de l’utilisateur en
envoyant un courriel contrefait.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-26929";>CVE-2021-26929</a>
<p>Un problème d’XSS a été découvert dans <q>Horde Groupware Webmail Edition</q>
(dans laquelle la bibliothèque Horde_Text_Filter est utilisée). Un attaquant
peut envoyer un message de courriel en texte simple, avec du JavaScript encodé
sous forme de lien, ou un courriel mal géré par le préprocesseur dans Text2html.php
parce que l’utilisation personnalisée de \x00\x00\x00 et \x01\x01\x01 interfère
avec les défenses XSS.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 2.3.5-1+deb9u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php-horde-text-filter.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de php-horde-text-filter, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/php-horde-text-filter";>\
https://security-tracker.debian.org/tracker/php-horde-text-filter</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2564.data"
# $Id: $
#use wml::debian::translation-check translation="9c0334c6c7b5d8409cd9adb0b04bb39c5334b4cd" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert qu’il existait deux problèmes dans le système de
chiffrement d’OpenSSL.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23840";>CVE-2021-23840</a>
<p>Les appels à EVP_CipherUpdate, EVP_EncryptUpdate et EVP_DecryptUpdate pouvaient
dépasser l’argument de longueur de sortie dans certains cas où la longueur de
l’entrée est proche de la longueur totale permise pour un entier sur la
plateforme. Dans de tels cas, la valeur de retour de l’appel de fonction
serait 1 (indication de réussite) mais la valeur de longueur de sortie serait
négative. Cela pourrait causer les applications à se comporter incorrectement
ou à planter. OpenSSL versions 1.1.1i et précédentes sont affectées par ce
problème. Les utilisateurs de telles versions devraient mettre à niveau vers
OpenSSL 1.1.1j. OpenSSL versions 1.0.2x et précédentes sont affectées par ce
problème. Cependant, OpenSSL 1.0.2 n’est plus pris en charge et ne reçoit
plus de mises à jour publiques. Les utilisateurs de la prise en charge Premium
d’OpenSSL 1.0.2 devraient mettre à niveau vers la version 1.0.2y. Les autres
utilisateurs devraient le faire vers la version 1.1.1j. Problème corrigé dans
OpenSSL 1.1.1j (version affectée 1.1.1-1.1.1i). Problème corrigé dans
OpenSSL 1.0.2y (versions affectées 1.0.2-1.0.2x).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23841";>CVE-2021-23841</a>
<p>La fonction de l’API publique d’OpenSSL X509_issuer_and_serial_hash() essaie
de créer une valeur d’hachage unique basée sur l’émetteur et les données de
numéro de série contenues dans le certificat X509. Cependant elle échoue à gérer
correctement toute erreur survenant lors de l’analyse le champ de l’émetteur
(ce qui peut se produire si le champ de l’émetteur est malveillant). Cela peut
résulter dans un déréférencement de pointeur NULL et un plantage conduisant
à attaque possible par déni de service.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1.1.0l-1~deb9u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2563.data"
# $Id: $
#use wml::debian::translation-check translation="780b89e0dbee08b709eacefc3a8ec54cf6ee7265" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert qu’il existait une vulnérabilité d’exécution de code
à distance dans <a href="https://www.mumble.info/";>Mumble</a>, un client VoIP
communément utilisé dans les clavardages de groupe. Son utilisation pouvait
être provoquée par une URL malveillante sur la liste des serveurs.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-27229";>CVE-2021-27229</a>
<p>Mumble avant la version 1.3.4 permet l’exécution de code à distance si une
victime parcourait une URL contrefaite sur la liste des serveurs et cliquait sur
le texte Open Webpage.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1.2.18-1+deb9u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mumble.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2562.data"
# $Id: $
#use wml::debian::translation-check translation="9ac65e6a0fe9be4e6a68860c7ae77cbede2d0a46" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans QEMU, un émulateur rapide
de processeur (utilisé notamment dans KVM et la virtualisation HVM Xen). Un
attaquant pouvait déclencher un déni de service (DoS), une fuite d'informations
et éventuellement exécuter du code arbitraire avec les privilèges du processus
QEMU sur l’hôte.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-15469";>CVE-2020-15469</a>
<p>Un objet MemoryRegionOps pouvait ne pas avoir de méthodes de rappel
d’écriture ou lecture, conduisant à un déréférencement de pointeur NULL.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-15859";>CVE-2020-15859</a>
<p>QEMU était sujet à une utilisation de mémoire après libération dans
hw/net/e1000e_core.c à cause d’un utilisateur de système invité pouvant
déclencher un paquet e1000e avec l’adresse de données réglée à l’adresse
MMIO de e1000e.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-25084";>CVE-2020-25084</a>
<p>QEMU était sujet à une utilisation de mémoire après libération dans
hw/usb/hcd-xhci.c parce que la valeur de retour usb_packet_map n’était pas
vérifiée.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28916";>CVE-2020-28916</a>
<p>hw/net/e1000e_core.c était sujet à une boucle infinie à l'aide d'un
descripteur RX avec une adresse de tampon NULL.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-29130";>CVE-2020-29130</a>
<p>slirp.c était sujet à une lecture excessive de tampon car il essayait de
lire un certain montant de données d’en-tête même si cela excédait la longueur
totale de paquet.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-29443";>CVE-2020-29443</a>
<p>ide_atapi_cmd_reply_end dans hw/ide/atapi.c permettait un accès en lecture
hors limites à cause d’un indice de tampon non validé.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20181";>CVE-2021-20181</a>
<p>9pfs : ZDI-CAN-10904 : vulnérabilité TOCTOU d’élévation de privilèges dans le
système de fichiers Plan 9 de QEMU.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20221";>CVE-2021-20221</a>
<p>aarch64 : GIC : accès hors limites dans le tampon de tas à l'aide d'un champ
ID interrompu.</p></li>
</ul>
<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1:2.8+dfsg-6+deb9u13.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de qemu, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/qemu";>\
https://security-tracker.debian.org/tracker/qemu</a>.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2560.data"
# $Id: $
Reply to: