Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul
#use wml::debian::translation-check translation="9a1eac06b7322e5cfa0f48bafc8eaf3f694ae690" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Ruby-openid réalisait d’abord la reconnaissance et ensuite la vérification.
Cela permettait à un attaquant de modifier l’URL utilisée pour la reconnaissance
et piéger le serveur pour se connecter à cette URL. Ce serveur à son tour
pourrait être un serveur privé non accessible publiquement.</p>

<p>De plus, si le client qui utilise cette bibliothèque divulgue les erreurs de
connexion, cela à son tour pourrait divulguer des informations du serveur privé
à l’attaquant.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 2.5.0debian-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ruby-openid.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1956.data"
# $Id: $
#use wml::debian::translation-check translation="230513ec2eb088eb30470ebcc38b8f9c86908757" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Clamav, le moteur antivirus au source libre, est sujet aux vulnérabilités de
sécurité suivantes.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-12625";>CVE-2019-12625</a>

<p>Vulnérabilité de déni de service (DoS), conséquence de temps d’analyse trop
longs dûs à des bombes zip non récursives. Entre autres, ce problème était
atténué par l’introduction d’une limite de temps d’analyse.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-12900";>CVE-2019-12900</a>

<p>Écriture hors limites dans la bibliothèque bzip2 NSIS de ClamAV lors de
l’essai de décompression dans le cas ou le nombre de sélecteurs excédait la
limite maximale définie par la bibliothèque.</p>

<p>Cette mise à jour déclenche une transition de libclamav7 à libclamav9. En
conséquence, plusieurs autres paquets seront recompilés à partir du paquet
corrigé après la publication de cette mise à jour : dansguardian, havp,
python-pyclamav et c-icap-modules.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 0.101.4+dfsg-0+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets clamav.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1953.data"
# $Id: $
#use wml::debian::translation-check translation="170189c786f9138b8a2fcf93f7ae8b973e096327" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Deux vulnérabilités ont été découvertes dans le démon de journalisation
rsyslog du système et noyau dans les analyseurs des messages de journaux AIX et
Cisco.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-17041";>CVE-2019-17041</a>

<p>Un problème a été découvert dans Rsyslog v. 8.1908.0.
Contrib/pmaixforwardedfrom/pmaixforwardedfrom.c possède un dépassement de tas
dans l’analyseur pour les messages de journaux d’AIX. L’analyseur essaie de
trouver un délimiteur de message (dans ce cas, une espace ou un deux points)
mais échoue à estimer les chaînes ne satisfaisant pas cette contrainte. Si la
chaîne ne correspond pas, alors la variable lenMsg atteindra la valeur zéro et
évitera le test de validité qui détecte les messages non valables. Le message
sera considéré comme valable et l’analyseur gobera le délimiteur deux points
non existant. En faisant cela, il décrémentera lenMsg, un entier signé, dont la
valeur était zéro et deviendra alors moins un. L’étape suivante dans l’analyseur
est de décaler à gauche le contenu du message. Pour réaliser cela, il appellera
memmove avec les pointeurs corrects pour la cible et les chaînes de destination,
mais lenMsg sera alors interprété comme une valeur énorme, provoquant un
dépassement de tas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-17042";>CVE-2019-17042</a>

<p>Un problème a été découvert dans Rsyslog v. 8.1908.0.
Contrib/pmcisconames/pmcisconames.c possède un dépassement de tas
dans l’analyseur pour les messages de journaux de Cisco. L’analyseur essaie de
trouver un délimiteur de message (dans ce cas, une espace ou un deux points)
mais échoue à estimer les chaînes ne satisfaisant pas cette contrainte. Si la
chaîne ne correspond pas, alors la variable lenMsg atteindra la valeur zéro et
évitera le test de validité qui détecte les messages non valables. Le message
sera considéré comme valable et l’analyseur gobera le délimiteur deux points
non existant. En faisant cela, il décrémentera lenMsg, un entier signé, dont la
valeur était zéro et deviendra alors moins un. L’étape suivante dans l’analyseur
est de décaler à gauche le contenu du message. Pour réaliser cela, il appellera
memmove avec les pointeurs corrects pour la cible et les chaînes de destination,
mais lenMsg sera alors interprété comme une valeur énorme, provoquant un
dépassement de tas.</p></li>


</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 8.4.2-1+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets rsyslog.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1952.data"
# $Id: $
#use wml::debian::translation-check translation="821f3b05bbba812ec42cb6a43be23b5e49fe428f" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il existait une vulnérabilité de déni de service dans la bibliothèque de
chiffrement libtomcrypt.</p>

<p>Une lecture hors limites et un plantage pourraient se produire à cause de
données encodées « DER » soigneusement contrefaites (par exemple, en important un
certificat X.509).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-17362";>CVE-2019-17362</a>

<p>Dans LibTomCrypt jusqu’à 1.18.2, la fonction der_decode_utf8_string (dans
der_decode_utf8_string.c) ne détectait pas correctement certaines séquences
UTF-8 non valables. Cela permettait selon le contexte à des attaquants de
provoquer un déni de service (lecture hors limites et plantage) ou de lire des
informations d’autres emplacements mémoire à l’aide de données encodées DER
soigneusement contrefaites.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.17-6+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libtomcrypt.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1951.data"
# $Id: $

Répondre à