Bonjour,trois nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="db2c7e758e7c6b30707e072868547b05e722380f" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Le script c_rehash ne nettoie pas correctement les métacaractères de l’interpréteur de commande pour empêcher les injections de commande. Ce script est exécuté par update-ca-certificates, à partir des certificats d'autorités de certification, pour renouveler le hachage des certificats dans /etc/ssl/certs/. Un attaquant capable de placer des fichiers dans ce répertoire pourrait exécuter des commandes arbitraires avec les privilèges du script.</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 1.1.0l-1~deb9u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssl.</p> <p>Pour disposer d'un état détaillé sur la sécurité de openssl, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/openssl";>\ https://security-tracker.debian.org/tracker/openssl</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3008.data" # $Id: $
#use wml::debian::translation-check translation="82b51297d87bca640a3947cd85485be2fcd70383" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il y avait une vulnérabilité de dépassement d'entier dans htmldoc, un processeur qui génère des fichiers HTML indexés, PS et PDF. Cela était causé par une erreur de programmation dans la fonction image_load_jpeg due à un mélange ou une confusion entre les dimensions d'image déclarées, attendues et observées.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-27114";>CVE-2022-27114</a> <p>Il y a une vulnérabilité dans htmldoc 1.9.16. Dans la fonction image_load_jpeg fonction image.cxx, quand il appelle malloc, « img->width » et « 'img->height » sont suffisamment grands pour provoquer un dépassement d'entier. Aussi, la fonction malloc peut renvoyer un bloc de tas plus petit que la taille attendue, et elle provoquera un dépassement de tampon ou une erreur de limites d'adresse dans la fonction jpeg_read_scanlines.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1.8.27-8+deb9u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets htmldoc.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3004.data" # $Id: $
#use wml::debian::translation-check translation="a037a8f61465f31bf03b65ba41c953957acedaba" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il y avait une attaque potentielle par déni de service dans ruby-nokogiri, un analyseur HTML, XML, SAX, etc. écrit en langage de programmation Ruby et pour ce langage. Cela était causé par l'utilisation d'expressions rationnelles inefficaces qui étaient exposées à un retour sur trace excessif.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2022-24836";>CVE-2022-24836</a> <p>Nokogiri est une bibliothèque XML et HTML à source ouvert pour Ruby. Nokogiri, dans ses versions inférieures à v1.13.4 contient une expression rationnelle inefficace qui est exposée à un retour sur trace excessif lorsqu'il tente de détecter l'encodage dans les documents HTML. Il est conseillé à tous les utilisateurs de mettre à niveau Nokogiri vers une version >= 1.13.4. Il n'y a pas de palliatif connu pour ce problème.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1.6.8.1-1+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets ruby-nokogiri.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-3003.data" # $Id: $
Attachment:
OpenPGP_signature
Description: OpenPGP digital signature