Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="67bf8c09e902baf452131a8e0dddd38bd19d7d2b" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un problème a été découvert dans wpa, un ensemble d’outils pour prendre en charge WPA et WPA2 (IEEE 802.11i). Une absence de validation des données peut aboutir à un écrasement de tampon, pouvant conduire à un déni de service du processus wpa_supplicant ou, éventuellement, à l’exécution de code arbitraire.</p> <p>Sur demande, avec ce téléversement, la prise en charge de WPA-EAP-SUITE-B(-192) a été intégrée.</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 2:2.4-1+deb9u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets wpa.</p> <p>Pour disposer d'un état détaillé sur la sécurité de wpa, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/wpa";>\ https://security-tracker.debian.org/tracker/wpa</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2572.data" # $Id: $
#use wml::debian::translation-check translation="a8e04bbcb89a312a789fc2c81d84933c7c0ec37e" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts dans openvswitch, un commutateur Ethernet virtuel à base logicielle, utilisable en production et multicouche.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-35498";>CVE-2020-35498</a> <p>Des attaques par déni de service, dans lesquelles des paquets réseau contrefaits pouvaient faire que la recherche de paquets ignore les champs d’en-têtes réseau pour les couches 3 et 4. Les paquets réseau contrefaits étaient des paquets IPv4 ou IPv6 ordinaires avec des remplissages Ethernet au-dessus de 255 octets. Cela provoquait que les tests de validité esquivaient l’analyse des champs d’en-tête après la couche 2.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-27827";>CVE-2020-27827</a> <p>Attaques par déni de service en utilisant des paquets LLDP contrefaits.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-17206";>CVE-2018-17206</a> <p>Problème de lecture excessive de tampon lors du décodage d’action BUNDLE.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-17204";>CVE-2018-17204</a> <p>Échec d’assertion dû à une absence de validation d’information (groupe, type et commande) dans le décodeur OF1.5.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9214";>CVE-2017-9214</a> <p>Lecture excessive de tampon provoquée par un dépassement d'entier non signé par le bas.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8011";>CVE-2015-8011</a> <p>Un dépassement de tampon dans la fonction lldp_decode dans daemon/protocols/lldp.c dans lldpd avant la version 0.8.0 permet à des attaquants distants de provoquer un déni de service (plantage du démon) et éventuellement d’exécuter du code arbitraire à l’aide de vecteurs impliquant une vaste gestion d’adresses et de limites TLV.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 2.6.10-0+deb9u1. Cette version est une nouvelle version de l’amont.</p> <p>Nous vous recommandons de mettre à jour vos paquets openvswitch.</p> <p>Pour disposer d'un état détaillé sur la sécurité de openvswitch, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/openvswitch";>\ https://security-tracker.debian.org/tracker/openvswitch</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li> </ul> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2571.data" # $Id: $
#use wml::debian::translation-check translation="96cfe8a78677ff41aaaf35cefbe4e9bdf06f1ea5" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts dans unrar-free, un extracteur de fichiers .rar.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14120";>CVE-2017-14120</a> <p>Ce CVE est relatif à une vulnérabilité de traversée de répertoires pour les archives RAR version 2.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14121";>CVE-2017-14121</a> <p>Ce CVE est relatif à un défaut de déréférencement de pointeur NULL déclenché pan une archive RAR contrefaite pour l'occasion.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14122";>CVE-2017-14122</a> <p>Ce CVE est relatif à une lecture hors limites de tampon de pile.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1:0.0.1+cvs20140707-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets unrar-free.</p> <p>Pour disposer d'un état détaillé sur la sécurité de unrar-free, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/unrar-free";>\ https://security-tracker.debian.org/tracker/unrar-free</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li> </ul> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2567.data" # $Id: $
#use wml::debian::translation-check translation="ad6dec9a4690bade421ba996c381dc647a6b268b" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un problème a été découvert dans libbsd, une bibliothèque avec des fonctions utilitaires des systèmes BSD. Un nom de symbole non terminé par NULL dans la table de chaînes pouvait aboutir dans une lecture hors limites.</p> <p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans la version 0.8.3-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libbsd.</p> <p>Pour disposer d'un état détaillé sur la sécurité de libbsd, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/libbsd";>\ https://security-tracker.debian.org/tracker/libbsd</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2566.data" # $Id: $
#use wml::debian::translation-check translation="4ac8e507e1e9c92535a9ab99c8440d1a1d7a4e4d" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Busybox, un programme d’utilitaires pour les petits systèmes embarqués, était affecté par plusieurs vulnérabilités de sécurité. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2011-5325";>CVE-2011-5325</a> <p>Une vulnérabilité de traversée de répertoires a été découverte dans l’implémentation dans Busybox de tar. tar extrayait un lien symbolique pointant en dehors du répertoire de travail utilisé et puis suivait ce lien symbolique lors de l’extraction d’autres fichiers. Cela permettait une attaque par traversée de répertoires lors de l’extraction d’archives compressées non fiables.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1813";>CVE-2013-1813</a> <p>Lorsque un nœud de périphérique ou un lien symbolique dans /dev devait être créé dans un sous-répertoire de profondeur deux ou plus (/dev/dir1/dir2.../nœud), les répertoires intermédiaires étaient créés avec des permissions incorrectes.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4607";>CVE-2014-4607</a> <p>Un dépassement d'entier pouvait se produire lors du traitement de n’importe quelle variante de <q>littéral exécution</q> dans la fonction lzo1x_decompress_safe. Chacun de ces trois emplacements est sujet à un dépassement d'entier lors du traitement d’octets zéro. Cela expose le code qui copie ces littérals à une corruption de mémoire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9645";>CVE-2014-9645</a> <p>La fonction add_probe dans modutils/modprobe.c dans BusyBox permettait à des utilisateurs locaux de contourner les restrictions voulues lors du chargement de modules de noyau à l’aide d'un caractère <q>/</q> (barre oblique) dans un nom de module, comme le montre une commande <q>ifconfig /usbserial up</q> ou <q>mount -t /snd_pcm none</q>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2147";>CVE-2016-2147</a> <p>dépassement d'entier dans le client DHCP (udhcpc) dans BusyBox permet à des attaquants distants de provoquer un déni de service (plantage) à l'aide d'un nom de domaine encodé suivant la RFC1035 et mal formé, qui déclenche une écriture de tas hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2148";>CVE-2016-2148</a> <p>Un dépassement de tampon de tas dans le client DHCP client (udhcpc) dans BusyBox permettait à des attaquants distants d’avoir un impact non précisé à l’aide de vecteurs impliquant l’analyse d’OPTION_6RD.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15873";>CVE-2017-15873</a> <p>La fonction get_next_block dans archival/libarchive /decompress_bunzip2.c dans BusyBox avait un dépassement d'entier qui pouvait conduire à une violation de l’accès en écriture.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16544";>CVE-2017-16544</a> <p>Dans la fonction add_match dans libbb/lineedit.c dans BusyBox, la fonctionnalité d’autocomplétion de l’interpréteur de commandes, utilisée pour obtenir une liste de noms de fichier d’un répertoire, ne nettoyait pas ces noms et aboutissait dans l’exécution de n’importe quelle séquence d’échappement dans le terminal. Cela pouvait éventuellement résulter dans une exécution de code, une écriture de fichier arbitraire ou d’autre attaques.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000517";>CVE-2018-1000517</a> <p>BusyBox contenait une vulnérabilité de dépassement de tampon dans son wget qui pouvait aboutir à un dépassement de tampon de tas. Cette attaque semble exploitable à l’aide d’une connexion réseau.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-9621";>CVE-2015-9621</a> <p>La décompression d’un fichier zip contrefait spécialement résultait dans un calcul de pointeur non valable et à un plantage en lisant une adresse non valable.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1:1.22.0-19+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets busybox.</p> <p>Pour disposer d'un état détaillé sur la sécurité de busybox, veuillez consulter sa page de suivi de sécurité à l'adresse : <a rel="nofollow" href="https://security-tracker.debian.org/tracker/busybox";>\ https://security-tracker.debian.org/tracker/busybox</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a rel="nofollow "href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2559.data" # $Id: $
#use wml::debian::translation-check translation="cbe3debf4679a946a9a54d4142be3a988d7c6890" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité de fuite d'informations à distance et une vulnérabilité de dépassement de tampon à distance ont été découvertes dans ConnMan, un gestionnaire de réseau pour périphériques embarqués, qui pourraient avoir pour conséquence un déni de service ou l'exécution de code arbitraire.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1.33-3+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets connman.</p> <p>Pour disposer d'un état détaillé sur la sécurité de connman, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/connman";>\ https://security-tracker.debian.org/tracker/connman</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2552.data" # $Id: $
#use wml::debian::translation-check translation="2151728ae4d6df0107aaa0dbd6fa9ca8a128c0d9" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux problèmes ont été découverts dans slirp, un émulateur SLIP/PPP utilisant un compte d’interpréteur pour réseau commuté.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-7039";>CVE-2020-7039</a> <p>Dû à une mauvaise gestion de la mémoire, un dépassement de tampon de tas ou d’autres accès hors limites peuvent se produire. Cela peut conduire à un déni de service ou à une exécution possible de code arbitraire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8608";>CVE-2020-8608</a> <p>Prévention d’une vulnérabilité de dépassement de tampon due à un usage incorrect des valeurs renvoyées par snprintf.</p> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1:1.0.17-8+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets slirp.</p> <p>Pour disposer d'un état détaillé sur la sécurité de slirp, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/slirp";>\ https://security-tracker.debian.org/tracker/slirp</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li> </ul> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2021/dla-2551.data" # $Id: $
