Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="79b6025f4c3513b54bc5154ee82f11872f18b4e4" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Ansible, un système de gestion de configuration, de déploiement et d'exécution de tâches.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3908";>CVE-2015-3908</a> <p>Attaque potentielle de type « homme du milieu » associée avec une vérification insuffisante de certificat X.509. Ansible ne vérifiait pas que le nom dâhôte du serveur ne correspond pas à un nom de domaine dans le Common Name (CN) du sujet ou le champ subjectAltName du certificat X.509. Cela permet à des attaquants de type « homme du milieu » dâusurper les serveurs SSL à l'aide d'un certificat arbitraire valable.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6240";>CVE-2015-6240</a> <p>Attaque par lien symbolique permettant à des utilisateurs locaux de sâévader dâun environnement restreint (chroot ou jail) à l'aide d'une attaque par lien symbolique.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10875";>CVE-2018-10875</a> <p>Correctif pour lâexécution potentielle de code arbitraire aboutissant à lire le fichier ansible.cfg à partir dâun répertoire courant de travail modifiable par tout le monde. Cette condition fait que désormais ansible émet un avertissement et ignore le fichier ansible.cfg dans le répertoire courant de travail modifiable par tout le monde.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10156";>CVE-2019-10156</a> <p>Divulgation dâinformations à lâaide dâune substitution inattendue de variable.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.7.2+dfsg-2+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets ansible.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1923.data" # $Id: $
#use wml::debian::translation-check translation="d8cfa929212b6937c2f8aa9372944f3b7827244d" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Samuel R Lovejoy a découvert une vulnérabilité de sécurité dans dnsmasq. Des paquets soigneusement contrefaits par des serveurs DNS peuvent conduire dans des opérations de lecture hors limites, conduisant éventuellement à un plantage et un déni de service.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 2.72-3+deb8u5.</p> <p>Nous vous recommandons de mettre à jour vos paquets dnsmasq.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1921.data" # $Id: $
#use wml::debian::translation-check translation="798947699818144393e5554c597f99cba94595bf" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Ce paquet ignore la valeur de lâen-tête de hachage. Cela permet à un attaquant de lâusurper. Un attaquant peut ne pas seulement incorporer des en-têtes arbitraires Armor, mais aussi faire précéder du texte arbitraire aux messages en texte clair sans invalider les signatures.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 0.0~hg190-1+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets golang-go.crypto.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1920.data" # $Id: $
#use wml::debian::translation-check translation="641d452b663222d3450ea50223e648af9f93ad07" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une élévation des privilèges, un déni de service ou une fuite d'informations.</p> <p>Ce texte dâannonce mis à jour mentionne les modifications supplémentaires ne concernant pas la sécurité et souligne la nécessité dâinstaller de nouveaux paquets binaires.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-0136";>CVE-2019-0136</a> <p>La mise en Åuvre de soft-MAC (mac80211) wifi ne certifiait pas correctement les messages TDLS (Tunneled Direct Link Setup). Un attaquant proche pourrait utiliser cela pour provoquer un déni de service (perte de la connectivité wifi).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9506";>CVE-2019-9506</a> <p>Daniele Antonioli, Nils Ole Tippenhauer et Kasper Rasmussen ont découvert une faiblesse dans le protocole Bluetooth dâappariement, appelée <q> attaque KNOB</q>. Un attaquant proche lors de lâappariement pourrait utiliser cela pour affaiblir le chiffrement utilisé entre les périphériques appariés et écouter ou usurper la communication entre eux.</p> <p>Cette mise à jour atténue lâattaque en requérant une longueur minimale de 56 bits pour la clef de chiffrement.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11487";>CVE-2019-11487</a> <p>Jann Horn a découvert que lâinfrastructure FUSE (système de fichiers en espace utilisateur) pourrait être utilisée pour provoquer un dépassement d'entier dans les comptes de références de page, conduisant à une utilisation de mémoire après libération. Sur un système avec une mémoire physique suffisante, un utilisateur local, autorisé à créer des montages FUSE arbitraires, pourrait utiliser cela pour une élévation des privilèges.</p> <p>Par défaut, les utilisateurs non privilégiés peuvent seulement monter des systèmes de fichiers FUSE à lâaide de fusermount, ce qui limite le nombre de montages créés et devrait atténuer complètement ce problème.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15211";>CVE-2019-15211</a> <p>Lâoutil syzkaller a trouvé un bogue dans le pilote radio-raremono qui pourrait conduire à une utilisation de mémoire après libération. Un attaquant, capable dâajouter ou retirer des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15212";>CVE-2019-15212</a> <p>Lâoutil syzkaller a trouvé que le pilote rio500 ne fonctionnait pas correctement si plus dâun appareil lui sont liés. Un attaquant, capable dâajouter des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15215";>CVE-2019-15215</a> <p>Lâoutil syzkaller a trouvé un bogue dans le pilote cpia2_usb aboutissant à une utilisation de mémoire après libération. Un attaquant, capable dâajouter ou de retirer des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15216";>CVE-2019-15216</a> <p>Lâoutil syzkaller a trouvé un bogue dans le pilote yurex aboutissant à une utilisation de mémoire après libération. Un attaquant, capable dâajouter ou de retirer des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15218";>CVE-2019-15218</a> <p>Lâoutil syzkaller a trouvé que le pilote smsusb driver ne vérifiait pas que les périphériques USB avaient les terminaisons attendues, conduisant éventuellement à un déréférencement de pointeur NULL. Un attaquant, capable dâajouter des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (bogue/oops).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15219";>CVE-2019-15219</a> <p>Lâoutil syzkaller a trouvé quâune erreur dâinitialisation de périphérique dans le pilote sisusbvga pourrait conduire à un déréférencement de pointeur NULL. Un attaquant, capable dâajouter des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (bogue/oops).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15220";>CVE-2019-15220</a> <p>Lâoutil syzkaller a trouvé une situation de compétition dans le pilote p54usb qui pourrait conduire à une utilisation de mémoire après libération. Un attaquant, capable dâajouter ou de retirer des périphériques USB, pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges. <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15221";>CVE-2019-15221</a> <p>Lâoutil syzkaller a trouvé que le pilote line6 ne vérifiait pas les tailles maximales de paquet des périphériques USB, ce qui pourrait conduire à un dépassement de tampon basé sur le tas. Un attaquant, capable dâajouter des périphériques USB pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou éventuellement pour une élévation des privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15292";>CVE-2019-15292</a> <p>Lâoutil Hulk Robot a trouvé des vérifications manquantes dâerreurs dans lâimplémentation du protocole Appletalk, ce qui pourrait conduire à une utilisation de mémoire après libération. Lâimpact de sécurité apparait peu clair.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15538";>CVE-2019-15538</a> <p>Benjamin Moody a signalé que les opérations sur XFS plantent après un échec de la commande chgrp à cause dâun quota de disque. Un utilisateur local sur un système utilisant XFS et les quotas de disque pourrait utiliser cela pour un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15666";>CVE-2019-15666</a> <p>Lâoutil Hulk Robot a trouvé une vérification incorrecte dâintervalle dans la couche de transformation (xfrm) de réseau, conduisant à un accès en mémoire hors limites. Un utilisateur local avec la capacité CAP_NET_ADMIN (dans nâimporte quel espace de noms) pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15807";>CVE-2019-15807</a> <p>Jian Luo a signalé que la bibliothèque Serial Attached SCSI (libsas) ne gérait pas correctement lâéchec de découverte de périphériques derrière un adaptateur SAS. Cela pourrait conduire à un perte de ressources et un plantage (bogue). Lâimpact de sécurité apparait peu clair.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15924";>CVE-2019-15924</a> <p>Lâoutil Hulk Robot a trouvé une vérification manquante dâerreur dans le pilote fm10k Ethernet, ce qui pourrait conduire à un déréférencement de pointeur NULL et un plantage (bogue/oops). Lâimpact de sécurité apparait peu clair.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15926";>CVE-2019-15926</a> <p>Le pilote ath6kl wifi ne vérifiait pas constamment les numéros de classe de trafic dans les paquets de contrôle reçus, conduisant à un accès en mémoire hors limites. Un attaquant proche sur le même réseau wifi pourrait utiliser cela pour provoquer un déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une élévation des privilèges.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4.9.189-3~deb8u1. Cette version inclut aussi un correctif pour le bogue de Debian n° 930904 et dâautres correctifs dans les mises à jour amont de stable.</p> <p>Nous recommandons la mise à niveau de vos paquets linux-4.9 et linux-latest-4.9. Vous devrez utiliser <q>apt-get upgrade --with-new-pkgs</q> ou <q>apt upgrade</q> car le nom des paquets binaires a été modifié.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2019/dla-1919-2.data" # $Id: $
