Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="c130a9156d94d37ed0d10a6758c99c83c8133287" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Squid, un serveur mandataire de mise en cache de haute performance pour des clients web, a été découvert vulnérable à des attaques par déni de service associées avec un traitement dâauthentification dâen-têtes HTTP.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-12525">CVE-2019-12525</a> <p>à cause dâune gestion défectueuse de tampon, Squid est vulnérable à une attaque par déni de service lors du traitement des certificats dâauthentification Digest HTTP.</p> <p>à cause dâune validation incorrecte dâentrée, lâanalyseur dâen-tête HTTP demandée pour lâauthentification Digest peut accéder à la mémoire en dehors de celle allouée au tampon.</p> <p>Sur des systèmes avec protections dâaccès mémoire cela pourrait aboutir à ce que le processus Squid se termine de manière imprévue, amenant un déni de service pour tous les clients utilisant le mandataire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-12529">CVE-2019-12529</a> <p>à cause dâune gestion défectueuse de tampon, Squid est vulnérable à une attaque par déni de service lors du traitement des certificats dâauthentification Basic HTTP.</p> <p>à cause dâune terminaison incorrecte de chaîne, le décodeur de certificats dâauthentification Basic peut accéder à la mémoire en dehors du tampon du décodeur.</p> <p>Sur des systèmes avec protections dâaccès mémoire cela pourrait aboutir à ce que le processus Squid se termine de manière imprévue, amenant un déni de service pour tous les clients utilisant le mandataire.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.4.8-6+deb8u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets squid3.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1858.data" # $Id: $
#use wml::debian::translation-check translation="b01b1c098a6fbb195a93b58e9165fe7f14a04d05" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Des vulnérabilités ont été découvertes dans nss, la bibliothèque du service Network Security Service de Mozilla.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11719">CVE-2019-11719</a> <p>Lecture hors limites lors de lâimport de la clef privée curve25519</p> <p>Lors de lâimport dâune clef privée curve25519 dans PKCS#8format avec des octets 0x00 de début, il est possible de déclencher une lecture hors limites dans la bibliothèque NSS (Network Security Service). Cela pourrait conduire à une divulgation d'informations.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11729">CVE-2019-11729</a> <p>Clefs publiques vides ou mal formées 256-ECDH pouvant déclencher une erreur de segmentation</p> <p>Des clefs publiques vides ou mal formées 256-ECDH pouvent déclencher une erreur de segmentation à cause de valeurs improprement vérifiées avant dâêtre copiées en mémoire et utilisées.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2:3.26-1+debu8u5.</p> <p>Nous vous recommandons de mettre à jour vos paquets nss.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1857.data" # $Id: $
#use wml::debian::translation-check translation="427b7e86855aba2f3c33bf3279ed3f98dded50f9" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait une vulnérabilité de dépassement dâentier dans exiv2, un outil pour manipuler des images contenant (par exemple) des métadonnées EXIF.</p> <p>Cela pouvait aboutir à un déni de service à l'aide d'un fichier contrefait pour lâoccasion.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-13504">CVE-2019-13504</a> <p>Lecture hors limites dans Exiv2::MrwImage::readMetadata dans mrwimage.cpp dans Exiv2 jusquâà  0.27.2.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.24-4.1+deb8u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets exiv2.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1855.data" # $Id: $
#use wml::debian::translation-check translation="b56b8ba69b146514652513056ed8b38ad1e1a137" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une utilisation de mémoire après libération dans onig_new_deluxe() dans regext.c permet potentiellement à des attaquants de causer une divulgation d'informations, un déni de service ou éventuellement une exécution de code en fournissant une expression rationnelle contrefaite. Lâattaquant fournit une paire dâexpressions rationnelles et une chaîne, avec un encodage multi-octet, gérée par onig_new_deluxe().</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 5.9.5-3.2+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libonig.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1854.data" # $Id: $