Bonjour,trois nouvelles annonces de sécurité ont été publiées. En voici une traduction. Merci d'avance pour vos relectures. J'ai enrichi le texte des deux dernières (la description des problèmes était vide).
Amicalement, jipege
#use wml::debian::translation-check translation="a9c098f3d0be105db06bf6e28440269baf4f89b6" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une régression a été découverte dans pjproject, une bibliothèque de communication multimédia libre et à code source ouvert suite à la dernière mise à jour de sécurité.</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 2.5.5~dfsg-6+deb9u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets pjproject.</p> <p>Pour disposer d'un état détaillé sur la sécurité de pjproject, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/pjproject";> https://security-tracker.debian.org/tracker/pjproject</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-2962-2.data" # $Id: $
#use wml::debian::translation-check translation="d3400c2bf7b1f899a27697c9457ace29e2d3be23" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités sont corrigées dans Asterisk, une boîte à outils au code source ouvert pour autocommutateur téléphonique (PBX).</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-13161";>CVE-2019-13161</a> <p>Un attaquant était capable de planter Asterisk lors du traitement d’une réponse SDP à une ré-invite T.38 sortante.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-18610";>CVE-2019-18610</a> <p>Les utilisateurs distants d’AMI (Asterisk Manager Interface) authentifiés sans autorisation du système pouvaient exécuter des commandes système arbitraires.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-18790";>CVE-2019-18790</a> <p>Vulnérabilité de détournement d’appel SIP.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-18976";>CVE-2019-18976</a> <p>Un plantage peut survenir si Asterisk reçoit une ré-invite d'envoi d'un fax T 38 et a un port 0 et pas de ligne c= dans le SDP.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-28242";>CVE-2020-28242</a> <p>Si Asterisk reçoit une demande d'authentification après une invite sortante, il entre dans une boucle infinie d'envois d'invite menant à une consommation excessive de mémoire provoquant l'arrêt ou le redémarrage de l'application.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1:13.14.1~dfsg-2+deb9u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets asterisk.</p> <p>Pour disposer d'un état détaillé sur la sécurité de asterisk, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/asterisk";>\ https://security-tracker.debian.org/tracker/asterisk</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-2969.data" # $Id: $
#use wml::debian::translation-check translation="0eb462e2387c29071f7d2f40467ed5e1088b2a4c" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans mruby, une implémentation légère du langage Ruby ayant pour conséquence des dénis de service, des dépassements de tampon, l'exécution de code arbitraire ou éventuellement avoir d’autres conséquences indéterminées.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9527";>CVE-2017-9527</a> <p>La fonction mark_context_stack dans gc.c de mruby jusqu'à la version 1.2.0 permet à des attaquants de provoquer un déni de service (utilisation de mémoire après libération basée sur le tas et plantage de l'application) ou éventuellement avoir d’autres conséquences indéterminées au moyen d'un fichier .rb contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10191";>CVE-2018-10191</a> <p>Dans les versions de mruby jusqu'à y compris 1.4.0, il y a un dépassement d'entier dans src/vm.c::mrb_vm_exec() lors de la gestion d'OP_GETUPVAR en présence de « scopes » profondément imbriqués, ayant pour conséquence une utilisation de mémoire après libération. Un attaquant qui peut exécuter du code Ruby peut utiliser cela pour éventuellement exécuter du code arbitraire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-11743";>CVE-2018-11743</a> <p>La fonction init_copy dans kernel.c de mruby 1.4.1 réalise des appels initialize_copy pour les objets TT_ICLASS, ce qui permet à des attaquants de provoquer un déni de service (pointeur mrb_hash_keys non initialisé et plantage de l'application) éventuellement avoir d’autres conséquences indéterminées.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12249";>CVE-2018-12249</a> <p>Un problème a été découvert dans mruby 1.4.1. Il y a un déréférencement de pointeur NULL dans mrb_class_real parce que « class BasicObject » n'est pas correctement pris en charge dans class.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-14337";>CVE-2018-14337</a> <p>La macro CHECK dans mrbgems/mruby-sprintf/src/sprintf.c de mruby 1.4.1 contient un dépassement d'entier signé, menant potentiellement à un accès mémoire hors limites parce que la fonction mrb_str_resize dans string.c ne vérifie pas les longueurs négatives.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-15866";>CVE-2020-15866</a> <p>mruby jusqu'à la version 2.1.2-rc a un dépassement de tampon basé sur le tas dans la fonction mrb_yield_with_class de vm.c à cause d'une gestion incorrecte de la pile VM. Il peut être déclenché au moyen de la fonction stack_copy.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1.2.0+20161228+git30d5424a-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mruby.</p> <p>Pour disposer d'un état détaillé sur la sécurité de mruby, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/mruby";>\ https://security-tracker.debian.org/tracker/mruby</a.></p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2022/dla-2996.data" # $Id: $
Attachment:
OpenPGP_signature
Description: OpenPGP digital signature