Bonjour, le lundi 12 octobre 17:17, daniel.malg...@laposte.net a écrit :
>suggestions, Merci Daniel, en partie reprises. Panic est synonyme de plantage ici : https://github.com/golang/crypto/commit/bac4c82f69751a6dd76e702d54b3ceb88adab236 https://en.wiktionary.org/wiki/panic Les fichiers sont aussi ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml Autre chance de commentaire. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="f4a51f158a9622c93ef970f8154be30c8e30b8fe" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo></p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11840">CVE-2019-11840</a> <p>Un problème a été découvert dans la bibliothèque complémentaire de chiffrement de Go, c'est-à -dire, golang-googlecode-go-crypto. Si plus de 256 GiB de séquences de clés sont générés ou si le compteur dépasse 32 bits, lâimplémentation dâamd64 générera dâabord une sortie incorrecte, puis reviendra à la séquence précédente. Des répétitions dâoctets de séquence peuvent conduire à une perte de confidentialité dans les applications de chiffrement ou à une prédictibilité dans les applications CSPRNG.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11841">CVE-2019-11841</a> <p>Un problème de contrefaçon de message a été découvert dans crypto/openpgp/clearsign/clearsign.go dans les bibliothèques complémentaires de chiffrement de Go. Lâen-tête <q>Hash</q> dâArmor précise le(s) algorithme(s) de hachage cryptographique utilisé(s) pour les signatures. Ãtant donné que la bibliothèque omet en général lâanalyse de lâen-tête dâArmor, un attaquant peut non seulement embarquer des en-têtes arbitraires dâArmor, mais aussi ajouter en début du texte arbitraire aux messages en clair sans invalider les signatures.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-9283">CVE-2020-9283</a> <p>La fonction golang.org/x/crypto permet un plantage lors de la vérification de signature dans le paquet golang.org/x/crypto/ssh. Un client peut attaquer un serveur SSH acceptant des clés publiques. De plus, un serveur peut attaquer nâimporte quel client SSH.</p></li> </ul> <p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans la version 1:0.0~git20170407.0.55a552f+REALLY.0.0~git20161012.0.5f31782-1+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets golang-go.crypto.</p> <p>Pour disposer d'un état détaillé sur la sécurité de golang-go.crypto, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/golang-go.crypto">https://security-tracker.debian.org/tracker/golang-go.crypto</a>.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2402.data" # $Id: $