[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2021/dla-258{7,8}.wml



Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="7ffef0023f34d7c53a833c38688b33aa4f60fd6b" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux problèmes de sécurité ont été détectés dans zeromq3.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20234";>CVE-2021-20234</a>

<p>Fuite de mémoire dans un client provoquée par des serveurs malveillants sans
CURVE/ZAP.</p>

<p>D’après la description du problème
[<a href="https://github.com/zeromq/libzmq/security/advisories/GHSA-wfr2-29gj-5w87";>1</a>],
lorsqu’un tube (pipe) traite un délimiteur et n’est pas dans un état actif mais
a encore un message non terminé, le message est divulgué.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20235";>CVE-2021-20235</a>

<p>Dépassement de tas lors de la réception de paquets ZMTP version 1 mal
formés.</p>

<p>D’après la description du problème
[<a href="https://github.com/zeromq/libzmq/security/advisories/GHSA-fc3w-qxf5-7hp6";>2</a>],
l’allocateur statique a été implémenté pour diminuer sa taille enregistrée
de la même façon que l’allocateur partagé. Mais ce n’est pas nécessaire, et ne
devrait pas l’être, car au contraire de celui partagé, l’allocateur statique
utilise toujours un tampon statique, avec une taille définie par l’option de
socket ZMQ_IN_BATCH_SIZE (par défaut 8192), aussi modifier la taille engage la
bibliothèque dans un dépassement de tas. L’allocateur statique est utilisé
seulement avec les pairs ZMTP version 1.</p>

</li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 4.2.1-4+deb9u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets zeromq3.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de zeromq3, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/zeromq3";>\
https://security-tracker.debian.org/tracker/zeromq3</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2588.data"
# $Id: $
#use wml::debian::translation-check translation="dfd0e9eb094490e9b06281ec82715969a07d7c11" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans privoxy, un mandataire web
avec des capacités poussées de filtrage.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20272";>CVE-2021-20272</a>

<p>Un échec d’assertion pourrait être provoqué par une requête CGI contrefaite
conduisant à un plantage du serveur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20273";>CVE-2021-20273</a>

<p>Un plantage peut se produire à l'aide d'une requête CGI contrefaite si
Privoxy est désactivé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20275";>CVE-2021-20275</a>

<p>Une lecture non valable de taille deux peut se produire dans
chunked_body_is_complete(), conduisant à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20276";>CVE-2021-20276</a>

<p>Un accès en mémoire non valable avec un modèle non autorisé passé
à pcre_compile() pourrait conduire à déni de service.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 3.0.26-3+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets privoxy.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de privoxy, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/privoxy";>\
https://security-tracker.debian.org/tracker/privoxy</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2587.data"
# $Id: $

Reply to: