Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul
#use wml::debian::translation-check translation="7b7af2d8dddff842fd215d6247e54d72d2a0472d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été identifiées dans le code VNC de ssvnc, un
client VNC avec possibilités de chiffrement.</p>

<p>Les vulnérabilités référencées ci-dessous sont des problèmes qui, à l’origine,
ont été signalés pour le paquet source libvncserver de Debian (qui fournit aussi
la bibliothèque partagée libvncclient. Le paquet source ssvnc dans Debian
incorpore une variante dépouillée et avec une correction personnalisée de
libvncclient, par conséquent quelques correctifs de sécurité pour libvncclient
nécessitent plus de portage.</p>
<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20020";>CVE-2018-20020</a>

<p>LibVNC contenait une vulnérabilité d’écriture de tas hors limites dans une
structure dans le code du client VNC qui pourrait aboutir à l’exécution de code
à distance</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20021";>CVE-2018-20021</a>

<p>LibVNC contenait une CWE-835 : vulnérabilité de boucle infinie dans le code
du client VNC. Cette vulnérabilité permet à un attaquant de consommer un montant
excessif de ressources telles que le CPU et la RAM</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20022";>CVE-2018-20022</a>

<p>LibVNC contenait plusieurs vulnérabilités CWE-665 : initialisation incorrecte
dans le code du client VNC permettant à des attaquants de lire la mémoire de
pile et pouvant être mal utilisée pour une divulgation d'informations. Combinée
avec une autre vulnérabilité, cela pourrait être utilisé pour divulguer la
disposition de la mémoire de pile et contourner ASLR.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20024";>CVE-2018-20024</a>

<p>LibVNC contenait un déréférencement de pointeur NULL dans le code du client VNC
pouvant aboutir à un déni de service.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.0.29-2+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ssvnc.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2016.data"
# $Id: $
#use wml::debian::translation-check translation="3c9caa9d01f951a385b0ab52c2c1994917032755" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Le traitement de séquences de certificats Netscape dans CERT_DecodeCertPackage()
pourrait planter avec un déréférencement NULL conduisant à un déni de service.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 2:3.26-1+debu8u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nss.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2015.data"
# $Id: $
#use wml::debian::translation-check translation="4911338e7e01a8f2d5955022cd05d8c9be428bc1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été identifiées dans le code VNC de vino, un
utilitaire de partage de bureau pour l’environnement de bureau GNOME.</p>

<p>Les vulnérabilités référencées ci-dessous sont des problèmes qui, à l’origine,
ont été signalés pour le paquet source libvncserver de Debian. Le paquet source
de vino dans Debian incorpore une variante dépouillée et avec une correction
personnalisée de libvncserver, par conséquent quelques correctifs de sécurité
pour libvncserver nécessitent plus de portage.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-6053";>CVE-2014-6053</a>

<p>La fonction rfbProcessClientNormalMessage dans libvncserver/rfbserver.c dans
LibVNCServer ne gérait pas correctement les essais d’envoi de grandes quantités
de données ClientCutText. Cela permettait à des attaquants distants de provoquer
un déni de service (consommation de mémoire ou plantage du démon) à l'aide d'un
message contrefait qui était traité en utilisant un unique malloc non vérifié.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7225";>CVE-2018-7225</a>

<p>Un problème a été découvert dans LibVNCServer. La fonction
rfbProcessClientNormalMessage() dans rfbserver.c ne nettoyait pas msg.cct.length,
conduisant à un accès à des données non initialisées et éventuellement sensibles,
ou éventuellement à un autre impact non précisé (par exemple, un dépassement
d'entier) à l’aide de paquets VNC contrefaits pour l'occasion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-15681";>CVE-2019-15681</a>

<p>LibVNC contenait une fuite de mémoire (CWE-655) dans le code du serveur VNC
qui permettait à un attaquant de lire la mémoire de pile, et pourrait être mal
utilisée pour une divulgation d'informations. Combinée avec une autre
vulnérabilité, cela pourrait être utilisé pour divulguer de la mémoire de pile
et contourner ASLR. Cette attaque semble être exploitable à l’aide de la
connectivité réseau.</p>


<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 3.14.0-2+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets vino.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2014.data"
# $Id: $
#use wml::debian::translation-check translation="a902bd019bfcbbba22ccc3dba80f4eaebe9098e4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Dans tnef, un attaquant pourrait écrire dans le fichier .ssh/authorized_keys
de la victime à l'aide d'un message de courriel avec une pièce jointe
winmail.dat application/ms-tnef contrefaite, à cause d’une lecture hors limites
de tampon basé sur le tas impliquant strdup.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.4.9-1+deb8u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tnef.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2005.data"
# $Id: $
#use wml::debian::translation-check translation="a902bd019bfcbbba22ccc3dba80f4eaebe9098e4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Un défaut a été découvert dans le greffon <q>deref</q> de 389-ds-base où il
pourrait utiliser les droits de <q>search</q> pour afficher la valeur des
attributs.</p>

<p>Dans certaines configurations, cela pourrait permettre à un attaquant
authentifié de voir des attributs privés, tels que les hachages de mot de passe.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.3.3.5-4+deb8u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets 389-ds-base.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2004.data"
# $Id: $
#use wml::debian::translation-check translation="7b442619b26d618bcc147088a080a4c0d8de844f" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de sécurité a été découverte dans libapache2-mod-auth-openidc,
le module d’authentification OpenID Connect du serveur HTTP Apache.</p>

<p>Une validation insuffisante des URL conduit à une vulnérabilité Open
Redirect. Un attaquant peut piéger une victime à fournir les accréditations
pour un fournisseur OpenID en renvoyant la requête vers un site web illégitime.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.6.0-1+deb8u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libapache2-mod-auth-openidc.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1996.data"
# $Id: $

Répondre à