[RFR] wml://lts/security/2021/dla-26{68,69,70,71,73,74,75}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="51f7629217a24a22880fd4299b427128001a2800" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que le correctif pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2020-25712";>CVE-2020-25712</a>
dans le serveur X d’Xorg, publié dans la DLA-2486-1, causait une régression dans
caribou, le plantant quels que soient les caractères spéciaux (shift) saisis.</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 0.4.21-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets caribou.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de caribou, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/caribou";>\
https://security-tracker.debian.org/tracker/caribou</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2675.data"
# $Id: $

#use wml::debian::translation-check translation="f096f0dd0929bbae46edb9f16283a4628af4910d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Jon Franklin et Pawel Wieczorkiewicz ont trouvé un problème dans le serveur
et le client ISC DHCP lors de l’analyse des informations de bail. Cela pourrait
conduire à un déni de service à l’aide d’un plantage d'application.</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 4.3.5-3+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets isc-dhcp.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de isc-dhcp, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/isc-dhcp";>\
https://security-tracker.debian.org/tracker/isc-dhcp</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2674.data"
# $Id: $

#use wml::debian::translation-check translation="ec62966e6f2315ca842debfc00b884c6a97e3b6c" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web
Firefox de Mozilla, qui pourraient éventuellement aboutir à l'exécution de code
arbitraire.</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 78.11.0esr-1~deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de firefox-esr, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/firefox-esr";>\
https://security-tracker.debian.org/tracker/firefox-esr</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2673.data"
# $Id: $

#use wml::debian::translation-check translation="90929ceea67167b150c4f3e6719e910b8445fb77" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>rxvt-unicode permet (éventuellement à distance) une exécution de code à cause
du mauvais traitement de certaines séquences d’échappement (ESC G Q). Une
réponse est terminée par un retour ligne.</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 9.22-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets rxvt-unicode.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de rxvt-unicode, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/rxvt-unicode";>\
https://security-tracker.debian.org/tracker/rxvt-unicode</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2671.data"
# $Id: $

#use wml::debian::translation-check translation="fc2535a53c1d4f228a8af287345c789366a3c972" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Luis Merino, Markus Vervier et Eric Sesterhenn ont découvert une
vulnérabilité due à un décalage d'entier dans Nginx, un serveur web et
mandataire inverse à haute performance, qui pourrait avoir pour conséquences
un déni de service et éventuellement l'exécution de code arbitraire</p>

<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 1.10.3-1+deb9u6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nginx.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de nginx, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/nginx";>\
https://security-tracker.debian.org/tracker/nginx</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2670.data"
# $Id: $

#use wml::debian::translation-check translation="7909e175532fe8bfb8cbc8f55539498e926e67a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Un problème a été découvert dans libxml2, la bibliothèque XML de GNOME.
Il est appelé attaque <q>Parameter Laughs</q> et concerne l’expansion de
paramètres d’entités. Il est similaire à l’attaque <q>Billion Laughs</q> trouvée
précédemment dans libexpat. Plus d’information est disponible dans [1]</p>

<p>[1] <a href="https://blog.hartwork.org/posts/cve-2021-3541-parameter-laughs-fixed-in-libxml2-2-9-11/";>https://blog.hartwork.org/posts/cve-2021-3541-parameter-laughs-fixed-in-libxml2-2-9-11/</a>.</p>


<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 2.9.4+dfsg1-2.2+deb9u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxml2.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de libxml2, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/libxml2";>\
https://security-tracker.debian.org/tracker/libxml2</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2669.data"
# $Id: $

#use wml::debian::translation-check translation="65d69824b30263dfa47ea1fe7edb3ed314d9e5bb" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Samba, un serveur de
fichiers SMB/CIFS, d’impression et de connexion pour Unix</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10218";>CVE-2019-10218</a>

<p>Un défaut a été découvert dans le client samba par lequel un serveur
malveillant pouvait fournir un nom de chemin avec séparateurs au client. Cela
pourrait permettre d’accéder à des fichiers et des répertoires en dehors des
noms de chemin réseau SMB. Un attaquant pourrait utiliser cette vulnérabilité
pour créer des fichiers en dehors du répertoire de travail en cours en utilisant
les privilèges de l’utilisateur client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14833";>CVE-2019-14833</a>

<p>Un défaut a été découvert dans Samba dans sa manière de gérer les
modifications de mot de passe utilisateur ou un nouveau mot de passe pour un
utilisateur de samba. Le contrôleur de domaine Active Directory peut être
configuré pour utiliser un script personnalisé de vérification de complexité
de mot de passe. Cette configuration de complexité peut échouer quand des
caractères non ASCII sont utilisés dans le mot de passe. Cela pourrait conduire
à ce que des mots de passe faibles soient définis pour des utilisateurs de samba,
les rendant vulnérables à des attaques par dictionnaire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14847";>CVE-2019-14847</a>

<p>Un défaut a été découvert dans samba par lequel un attaquant peut planter
un serveur LDAP AC DC à l’aide de dirsync, aboutissant à un déni de service. Une
élévation des privilèges n’est pas possible avec ce problème.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14861";>CVE-2019-14861</a>

<p>Samba a un problème par lequel un enchaînement dnsserver RPC fournit des
moyens administratifs de modifier des enregistrements et des zones DNS. Samba,
agissant comme AD DC, stocke les enregistrements DNS dans LDAP. Dans AD, les
permissions par défaut pour la partition DNS permettent la création de nouveaux
enregistrements par des utilisateurs authentifiés. Cela est utilisé, par
exemple, pour permettre à des machines de s’auto-enregistrer comme DNS. Si un
enregistrement DNS était créé qui correspondait indépendamment de la casse au
nom de la zone, les routines ldb_qsort() et dns_name_compare() pourraient être
induites en erreur dans la lecture de la mémoire avant la liste d’entrées DNS
lors de la réponse à DnssrvEnumRecords() ou DnssrvEnumRecords2() et ainsi suivre
une mémoire non valable comme pointeur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14870";>CVE-2019-14870</a>

<p>Samba a un problème par lequel le modèle de délégation S4U (MS-SFU) de
Kerberos inclut un fonctionnalité permettant à un sous-ensemble de clients de
refuser la délégation imposée de toute façon, que ce soit l’authentification
S4U2Self ou normale de Kerberos, en obligeant tous les tickets pour ces clients
a être non retransmissibles. Dans AD, cela est mis en œuvre par un attribut
d’utilisateur delegation_not_allowed (c’est-à-dire pas de délégation), qui
se traduit par disallow-forwardable. Cependant l’AC DC de Samba ne réalise pas
cela pour S4U2Self et ne règle pas l’indicateur forwardable même si le client
usurpateur n’a pas l’indicateur not-delegated défini.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14902";>CVE-2019-14902</a>

<p>Il existe un problème dans samba par lequel la suppression du droit de créer
ou modifier un sous-arbre ne serait pas automatiquement appliquée à tous les
contrôleurs de domaine.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14907";>CVE-2019-14907</a>

<p>Samba a un problème lorsqu’il est réglé avec <q> log level = 3 </q> (ou
supérieur), alors la chaîne obtenu due client, après un échec de conversion de
caractères, est affichée. De telles chaînes peuvent être fournies durant
l’échange d’authentification NTLMSSP. En particulier dans l’AD DC de samba, cela
peut déclencher la fin d’un processus à long terme (tel un serveur RPC). (Dans
le cas d’un serveur de fichiers, la cible la plus probable, smbd, opère selon un
processus par client, aussi un plantage ici est bénin).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-20254";>CVE-2021-20254</a>

<p>Un défaut a été découvert dans samba. Le système de fichiers smbd doit mapper
les identités de groupes Windows (SID) dans des identifiants de groupe Unix
(GID). Le code réalisant cela a un défaut qui pourrait permettre de lire des
données après la fin du tableau dans le cas où une entrée de cache négative a
été ajoutée au cache de mappage. Cela pourrait faire que le code appelant
renvoie ces valeurs dans le jeton du processus qui stocke l’appartenance de
groupe d’un utilisateur. Le plus grand risque de cette vulnérabilité concerne
la confidentialité et l’intégrité.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 2:4.5.16+dfsg-1+deb9u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets samba.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de samba, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/samba";>\
https://security-tracker.debian.org/tracker/samba</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2668.data"
# $Id: $