Bonjour, voici la traduction de deux nouvelles pages de sécurité.
Merci d’avance pour vos relectures et commentaires. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="ed7b72d0cbd29575352e108dd0535745ba89eabc" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité a été identifiée dans c-ares, une bibliothèque de résolution de noms asynchrone.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-22217";>CVE-2020-22217</a>: <p>Une vulnérabilité de dépassement de tampon a été découverte dans c-ares, versions 1.16.1 jusqu’à 1.17.0 à l’aide de la fonction ares_parse_soa_reply dans ares_parse_soa_reply.c. Cette vulnérabilité a été découverte à l’aide de tests à données aléatoires. L’exploitation de cette vulnérabilité pouvait permettre à un attaquant d’exécuter du code arbitraire ou de causer une condition de déni de service.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ce problème a été corrigé dans la version 1.14.0-1+deb10u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets c-ares.</p> <p>Pour disposer d'un état détaillé sur la sécurité de c-ares, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/c-ares";>\ https://security-tracker.debian.org/tracker/c-ares</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3567.data" # $Id: $
#use wml::debian::translation-check translation="0e02221f2434a84eeb0774c4dd6bf086e44013ac" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Samba, le serveur de connexion, d’impression et de fichiers SMB/CIFS pour Unix.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2124";>CVE-2016-2124</a> <p>Un défaut a été découvert dans la façon dont samba mettait en œuvre l’authentification SMB1. Un attaquant pouvait utiliser ce défaut pour retrouver les mots de passe en texte simple envoyés sur le réseau même si une authentification Kerberos était demandé.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-10218";>CVE-2019-10218</a> <p>Un défaut a été découvert dans le client samba pour toutes les versions avant 4.11.2, 4.10.10 et 4.9.15, quand un serveur malveillant pouvait fournir au client un chemin avec des séparateurs. Cela pouvait permettre au client d’accéder à des fichiers ou des répertoires en dehors des chemins de réseau SMB. Un attaquant pouvait utiliser cette vulnérabilité pour créer des fichiers en dehors du répertoire de travail en cours en utilisant les privilèges de l’utilisateur client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14833";>CVE-2019-14833</a> <p>Un défaut a été découvert dans Samba dans toutes les versions depuis samba 4.5.0 avant samba 4.9.15, samba 4.10.10, samba 4.11.2, dans la manière dont il gèrait le changement de mot de passe ou la création d’un nouveau pour un utilisateur de samba. Le contrôleur de domaine Active Directory de Samba pouvait être configuré pour utiliser un script personnalisé pour vérifier la complexité du mot de passe. Cette configuration pouvait échouer à vérifier cela quand des caractères non ASCII étaient utilisés dans le mot de passe, ce qui pouvait conduire à l’établissement de mots de passe faibles pour les utilisateurs de samba, les rendant vulnérables à des attaques par dictionnaires.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14847";>CVE-2019-14847</a> <p>Un défaut a été découvert dans samba 4.0.0 avant samba 4.9.15 et samba 4.10.x avant 4.10.10. Un attaquant pouvait planter le serveur LDAP de DC d’AD à l’aide de dirsync aboutissant à un déni de service. Une élévation des privilèges n’était pas possible avec ce problème.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14902";>CVE-2019-14902</a> <p>Un problème existait dans toutes les versions de samba 4.11.x versions avant 4.11.5, toutes les versions de samba 4.10.x avant 4.10.12 et toutes les versions de samba 4.9.x avant 4.9.18, quand la suppression de la permission de créer ou de modifier un sous-arbre n’était pas automatiquement supprimée pour tous les contrôleurs de domaine.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14907";>CVE-2019-14907</a> <p>Toutes les versions de samba 4.9.x avant 4.9.18, 4.10.x avant 4.10.12 et 4.11.x avant 4.11.5 avaient un problème par lequel, si réglées avec « log level = 3 » (ou au-dessus), la chaine obtenue du client, après une conversion de caractère défectueuse, était imprimée. De telles chaines pouvaient être fournies durant l’échange d’authentification NTLMSSP. Dans le DC d’AC de Samba en particulier, cela pouvait faire que les processus de longue durée (tels que le serveur RPC) se terminent (dans le cas du serveur de fichiers, la cible la plus probable, smbd, opère comme client par processus et donc un plantage était sans conséquence).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-19344";>CVE-2019-19344</a> <p>Un problème d’utilisation de mémoire après libération existait dans toutes les versions de samba 4.9.x avant 4.9.18, toutes les versions samba 4.10.x avant 4.10.12 et toutes les versions samba 4.11.x avant 4.11.5, essentiellement due à un appel à realloc() alors que les autres variables locales pointaient vers le tampon originel.</p></li> </ul> <p>Pour Debian 10 <q>Buster</q>, ces problèmes ont été corrigés dans la version 2:4.9.5+dfsg-5+deb10u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets samba.</p> <p>Il est rappelé et fortement encouragé aux administrateurs de configurations de contrôleur de domaine d’Active Directory de mettre à niveau vers <q>Bullseye</q> et puis vers <q>Bookworm</q>, car ces configurations ne sont plus prises en charge dans <q>Buster</q> depuis la <a href="https://www.debian.org/security/2021/dsa-5015";>DSA 5015-1</a> et dans <q>Bullseye</q> depuis la <a href="https://www.debian.org/security/2023/dsa-5477";>DSA 5477-1</a>.</p> <p>Pour disposer d'un état détaillé sur la sécurité de samba, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/samba";>\ https://security-tracker.debian.org/tracker/samba</a>.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2023/dla-3563.data" # $Id: $
