[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2023/dla-33{72,74,76,78,79,80}.wml

Bonjour,

voici la traduction de nouvelles pages de sécurité.

Merci d’avance pour vos relectures et commentaires.

Amicalement.

-- 
Jean-Paul

#use wml::debian::translation-check translation="91b5185043ef7a3ca32b6bf476cfd69172475d23" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans svgpp : une
bibliothèque C++ pour l’analyse et le rendu de fichiers SVG (Scalable Vector
Graphics).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-44960";>CVE-2021-44960</a>

<p>La fonction XMLDocument::getRoot dans la fonction renderDocument gérait
l’objet XMLDocument incorrectement. Plus précisément, elle renvoyait un pointeur
NULL lors de la seconde déclaration if, aboutissant à une référence de pointeur
NULL après la fonction renderDocument.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-6245";>CVE-2019-6245</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2019-6247";>CVE-2019-6247</a>
<p>Un problème a été découvert dans Anti-Grain Geometry (AGG) dans la fonction
agg::cell_aa::not_equal. Puisque svgpp est une bibliothèque d’en-tête seulement,
le problème est uniquement transitif en théorie. En conséquence, seul un
durcissement de version de dépendance a été ajouté dans le fichier de contrôle.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 1.2.3+dfsg1-6+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets svgpp.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de svgpp,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/svgpp";>\
https://security-tracker.debian.org/tracker/svgpp</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3376.data"
# $Id: $

#use wml::debian::translation-check translation="4c3f0cacbcaf0bf5fbf4a7fd6473c1aa599747b1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les paquets firmware-nonfree ont été mis à jour pour inclure des
microprogrammes pouvant être nécessaires pour certains pilotes dans Linux 5.10,
disponibles pour Debian LTS sous forme de noyau rétroporté.</p>

<p>Certains des fichiers mis à jour corrigent des vulnérabilités de sécurité
qui pouvaient permettre une élévation des privilèges, un déni de service ou une
divulgation d’informations.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-24586";>CVE-2020-24586</a>

<p>(INTEL-SA-00473)</p>

<p>La norme 802.11 qui étaye <q>Wi-Fi Protected Access</q> (WPA, WPA2 et WPA3)
et <q>Wired Equivalent Privacy</q> (WEP) ne requiert pas que les fragments reçus
soient nettoyés de la mémoire après la (re)connexion à un réseau. Dans certaines
circonstances, quand un autre appareil envoyait des trames fragmentées chiffrées
en utilisant WEP, CCMP ou GCMP, cela pouvait être détourné pour injecter des
paquets arbitraires dans le réseau ou exfiltrer des données d’utilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-24587";>CVE-2020-24587</a>

 <p>(INTEL-SA-00473)</p>

<p>La norme 802.11 qui étaye <q>Wi-Fi Protected Access</q> (WPA, WPA2 et WPA3)
et <q>Wired Equivalent Privacy</q> (WEP) ne requiert pas que tous les fragments
d’une trame soient chiffrés avec la même clé. Un ennemi pouvait détourner cela
pour déchiffrer des fragments choisis quand un autre appareil envoyait des
trames fragmentées et la clé de chiffrement WEP, CCMP ou GCMP était
périodiquement renouvelée.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-24588";>CVE-2020-24588</a>

 <p>(INTEL-SA-00473)</p>

<p>La norme 802.11 qui étaye <q>Wi-Fi Protected Access</q> (WPA, WPA2 et WPA3)
et <q>Wired Equivalent Privacy</q> (WEP) ne requiert pas que le drapeau A-MSDU
dans le champ d’en-tête QoS en texte simple soit authentifié. Dans des appaareils
ne gérant pas la réception des trames A-MSDU non SSP (ce qui est obligatoire car
faisant partie de 802.11n), un ennemi peut détourner cela pour injecter des
paquets réseau arbitraires.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23168";>CVE-2021-23168</a>

 <p>(INTEL-SA-00621)</p>

<p>Une lecture hors limites pour quelques produits Wi-Fi PROSet/Wireless et
Killer™ pouvait permettre à un utilisateur non authentifié d’éventuellement
activer un déni de service à l'aide d'un accès adjacent.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-23223";>CVE-2021-23223</a>

<p>(INTEL-SA-00621)</p>

<p>Un initialisation incorrecte pour quelques produits Wi-Fi PROSet/Wireless et
Killer™ pouvait permettre à un utilisateur non authentifié d’éventuellement
activer un déni de service à l'aide d'un accès local.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-37409";>CVE-2021-37409</a>

<p>(INTEL-SA-00621)</p>

<p>Un contrôle incorrect d’accès pour quelques produits Wi-Fi PROSet/Wireless et
Killer™ pouvait permettre à un utilisateur non authentifié d’éventuellement
activer un déni de service à l'aide d'un accès local.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2021-44545";>CVE-2021-44545</a>

<p>(INTEL-SA-00621)</p>

<p>Une validation incorrecte d’entrée pour quelques produits Wi-Fi PROSet/Wireless
et Killer™ pouvait permettre à un utilisateur non authentifié d’éventuellement
activer un déni de service à l'aide d'un accès adjacent.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-21181";>CVE-2022-21181</a>

<p>(INTEL-SA-00621)</p>

<p>Une validation incorrecte d’entrée pour quelques produits Wi-Fi PROSet/Wireless
et Killer™ pouvait permettre à un utilisateur non authentifié d’éventuellement
activer un déni de service à l'aide d'un accès local.</p>

<p>Les annonces suivantes sont aussi corrigées par cette publication, mais
nécessitent de mettre à jour le noyau Linux pour charger les microprogrammes
mis à jour.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-12362";>CVE-2020-12362</a>

<p>(INTEL-SA-00438)</p>

<p>Un dépassement d'entier dans le microprogramme pour certains pilotes
graphiques d’Intel pour Windows *, avant la version 26.20.100.7212 et avant le
noyau Linux version 5.5, pouvait permettre à un utilisateur privilégié d’élever
ses privilèges à l’aide d’un accès local.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-12363";>CVE-2020-12363</a>

<p>(INTEL-SA-00438)</p>

<p>Une validation incorrecte d’entrée dans certains pilotes graphiques d’Intel
pour Windows *, avant la version 26.20.100.7212 et avant le noyau Linux
version 5.5, pouvait permettre à un utilisateur privilégié d’activer un déni de
service à l’aide d’un accès local.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-12364";>CVE-2020-12364</a>

<p>(INTEL-SA-00438)</p>

<p>Un déréférencement de pointeur NULL dans certains pilotes graphiques d’Intel
pour Windows *, avant la version 26.20.100.7212 et avant le noyau Linux
version 5.5, pouvait permettre à un utilisateur privilégié d’activer un déni de
service à l’aide d’un accès local.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 20190114+really20220913-0+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets firmware-nonfree.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de firmware-nonfree,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/firmware-nonfree";>\
https://security-tracker.debian.org/tracker/firmware-nonfree</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3380.data"
# $Id: $

#use wml::debian::translation-check translation="3a7ad7286bb0093a4810ace2cdea5761b7114cf3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités potentielles de sécurité dans certains processeurs
d’Intel® ont été découvertes. Elles pouvaient permettre une divulgation
d'informations ou une élévation des privilèges. Intel publie une mise à jour du
microprogramme pour mitiger ces vulnérabilités potentielles.</p>

<p>Veuillez bien prendre en compte que le correctif pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2022-33196";>CVE-2022-33196</a>
peut requérir une mise à jour du microprogramme.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-21216";>CVE-2022-21216</a>

<p>(INTEL-SA-00700)
Une granularité insuffisante du contrôle d’accès dans la gestion hors bande dans
quelques processeurs extensibles Atom et Xeon d’Intel pouvait permettre à un
utilisateur privilégié d’éventuellement augmenter ses privilèges à l'aide d’un
accès par réseau adjacent.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-33196";>CVE-2022-33196</a>

<p>(INTEL-SA-00738)
Des permissions par défaut incorrectes dans certaines configurations de
contrôleur de mémoire pour certains processeurs Xeon® d’Intel lors de
l’utilisation des <q>Software Guards Extensions</q> pouvaient permettre à un
utilisateur privilégié d’éventuellement augmenter ses privilèges à l’aide d’un
accès local.</p>

<p>Ce correctif peut requérir une mise à jour du microprogramme pour être
effectif pour certains processeurs.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-33972";>CVE-2022-33972</a>

<p>(INTEL-SA-00730)
Un calcul incorrect dans le mécanisme de clé pour quelques processeurs
Xeon de troisième génération d’Intel pouvait permettre à un utilisateur
privilégié d’éventuellement divulguer des informations à l’aide d’un accès
local.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-38090";>CVE-2022-38090</a>

<p>(INTEL-SA-00767)
Une isolation incorrecte de ressources partagées dans certains processeurs
d’Intel lors de l’utilisation des <q>Software Guard Extensions</q> pouvait
permettre à un utilisateur privilégié d’éventuellement divulguer des
informations à l’aide d’un accès local.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2022-21233";>CVE-2022-21233</a>

<p>(INTEL-SA-00657)
Une isolation incorrecte de ressources partagées dans certains processeurs
d’Intel pouvait permettre à un utilisateur privilégié d’éventuellement
divulguer des informations à l’aide d’un accès local.</p></li>

</ul>

<p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans
la version 3.20230214.1~deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets intel-microcode.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de intel-microcode,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/intel-microcode";>\
https://security-tracker.debian.org/tracker/intel-microcode</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3379.data"
# $Id: $

#use wml::debian::translation-check translation="9237b7e43c9870a35fa4abf08e7ff48343cb98a7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Un problème a été découvert dans duktape, un moteur Javascript imbriquable.
Un fichier js contrefait spécialement pouvait aboutir à une erreur de
segmentation (SEGV) due à l’atteinte de certaines limites de pile.</p>


<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 2.3.0-1+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets duktape.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de duktape,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/duktape";>\
https://security-tracker.debian.org/tracker/duktape</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3378.data"
# $Id: $

#use wml::debian::translation-check translation="775de9b6cb4f44c75dcd24d929deb55d4ee03fcf" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Un problème a été découvert dans linmicrohttpd, une fonctionnalité de
bibliothèque d’imbrication de serveur HTTP. L’analyse de requêtes POST
contrefaites aboutissait à une lecture hors limites, ce qui pouvait causer un
déni de service (DoS).</p>


<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 0.9.62-1+deb10u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libmicrohttpd.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de libmicrohttpd,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/libmicrohttpd";>\
https://security-tracker.debian.org/tracker/libmicrohttpd</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3374.data"
# $Id: $

#use wml::debian::translation-check translation="76ea1ab68b11352f39fe69b9201162633c7645d4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Jan-Niklas Sohn a découvert qu’un défaut d’utilisation de mémoire après
libération dans l’extension Composite du serveur X.org pouvait conduire à une
élévation des privilèges si le serveur X était exécuté sous le compte du
superutiliseur.</p>


<p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans
la version 2:1.20.4-1+deb10u9.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xorg-server.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de xorg-server,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/xorg-server";>\
https://security-tracker.debian.org/tracker/xorg-server</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2023/dla-3372.data"
# $Id: $
Reply to: