Bonjour, le mercredi 06 mai 16:02, Grégoire Scano a écrit :
>quelques suggestions. > Merci Grégoire, intégrées Les fichiers sont aussi ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml Autre chance de commentaire. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="ead2e8d97a3a41854042efd7727b6da7fe4b05b7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Ansible, un système de gestion de configuration, déploiement et exécution de tâches.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14846">CVE-2019-14846</a> <p>Ansible journalisait au niveau DEBUG, ce qui conduisait à une divulgation dâaccréditations si un greffon utilisait une bibliothèque qui journalisait les accréditations au niveau DEBUG. Ce défaut nâaffecte pas les modules Ansible, comme ceux exécutés dans un processus distinct.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1733">CVE-2020-1733</a> <p>Un défaut de situation de compétition a été découvert lors de lâutilisation dâun « playbook » avec un « become user » sans droits. LorsquâAnsible avait besoin dâexécuter un module avec « become user », le répertoire temporaire était créé dans /var/tmp. Ce répertoire était créé avec « umask 77 && mkdir -p dir ». Cette opération nâéchouait pas si le répertoire existait déjà et appartenait à un autre utilisateur. Un attaquant pourrait exploiter cela pour contrôler le « become user » car le répertoire cible pouvait être retrouvé par itération sur « /proc/pid/cmdlinez.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1739">CVE-2020-1739</a> <p>Un défaut a été découvert lorsque le mot de passe est réglé avec lâargument <q>password</q> du module svn, utilisé sur la ligne de commande de svn, lâexposant aux autres utilisateurs appartenant au même nÅud. Un attaquant pourrait exploiter cela en lisant le fichier de ligne de commande à partir de ce PID particulier du procfs.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-1740">CVE-2020-1740</a> <p>Un défaut a été découvert lors de lâutilisation dâAnsible Vault pour lâédition de fichiers chiffrés. Quand un utilisateur exécute « ansible-vault edit », un autre utilisateur sur le même ordinateur peut lire lâancienne et la nouvelle phrase secrète car elle est créée dans un fichier temporaire avec mkstemp et le descripteur de fichier renvoyé est fermé et la méthode write_data est appelée pour écrire la phrase secrète dans le fichier. Cette méthode détruit le fichier avant de le recréer de manière insécurisée.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.7.2+dfsg-2+deb8u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets ansible.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2202.data" # $Id: $
#use wml::debian::translation-check translation="a5e4e9174786c758beaf054ccc6c89b05a203dc4" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité de déni de service a été découverte dans ntp, le client/serveur du protocole de synchronisation horaire.</p> <p>ntp permettait à un attaquant « hors chemin » (off-path) de bloquer une synchronisation non authentifiée à l'aide d'un mode serveur avec une adresse IP source usurpée car les transmissions étaient reprogrammées même si un paquet nâavait pas dâestampille temporelle valable (origin timestamp).</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11868">CVE-2020-11868</a> <p>ntpd dans ntp avant la version 4.2.8p14 et les versions 4.3.x avant la version 4.3.100 permettait à un attaquant « hors chemin » de bloquer une synchronisation non authentifiée à l'aide d'un mode serveur avec une adresse IP source usurpée car les transmissions étaient reprogrammées même si un paquet nâavait pas dâestampille temporelle valable.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-7+deb8u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets ntp.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2201.data" # $Id: $