Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="67bf8c09e902baf452131a8e0dddd38bd19d7d2b" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Un problème a été découvert dans wpa, un ensemble d’outils pour prendre
en charge WPA et WPA2 (IEEE 802.11i). Une absence de validation des données
peut aboutir à un écrasement de tampon, pouvant conduire à un déni de service
du processus wpa_supplicant ou, éventuellement, à l’exécution de code
arbitraire.</p>

<p>Sur demande, avec ce téléversement, la prise en charge de
WPA-EAP-SUITE-B(-192) a été intégrée.</p>


<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 2:2.4-1+deb9u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wpa.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de wpa, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/wpa";>\
https://security-tracker.debian.org/tracker/wpa</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2572.data"
# $Id: $
#use wml::debian::translation-check translation="a8e04bbcb89a312a789fc2c81d84933c7c0ec37e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs problèmes ont été découverts dans openvswitch, un commutateur
Ethernet virtuel à base logicielle, utilisable en production et multicouche.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-35498";>CVE-2020-35498</a>

<p>Des attaques par déni de service, dans lesquelles des paquets réseau
contrefaits pouvaient faire que la recherche de paquets ignore les champs
d’en-têtes réseau pour les couches 3 et 4. Les paquets réseau contrefaits étaient
des paquets IPv4 ou IPv6 ordinaires avec des remplissages Ethernet au-dessus
de 255 octets. Cela provoquait que les tests de validité esquivaient l’analyse
des champs d’en-tête après la couche 2.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-27827";>CVE-2020-27827</a>

<p>Attaques par déni de service en utilisant des paquets LLDP contrefaits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-17206";>CVE-2018-17206</a>

<p>Problème de lecture excessive de tampon lors du décodage d’action BUNDLE.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-17204";>CVE-2018-17204</a>

<p>Échec d’assertion dû à une absence de validation d’information (groupe,
type et commande) dans le décodeur OF1.5.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9214";>CVE-2017-9214</a>

<p>Lecture excessive de tampon provoquée par un dépassement d'entier non signé par
le bas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8011";>CVE-2015-8011</a>

<p>Un dépassement de tampon dans la fonction lldp_decode dans
daemon/protocols/lldp.c dans lldpd avant la version 0.8.0 permet à des
attaquants distants de provoquer un déni de service (plantage du démon) et
éventuellement d’exécuter du code arbitraire à l’aide de vecteurs impliquant
une vaste gestion d’adresses et de limites TLV.</p>


<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 2.6.10-0+deb9u1. Cette version est une nouvelle version de l’amont.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openvswitch.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de openvswitch, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/openvswitch";>\
https://security-tracker.debian.org/tracker/openvswitch</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>

</ul>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2571.data"
# $Id: $
#use wml::debian::translation-check translation="96cfe8a78677ff41aaaf35cefbe4e9bdf06f1ea5" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans unrar-free, un extracteur de
fichiers .rar.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14120";>CVE-2017-14120</a>

<p>Ce CVE est relatif à une vulnérabilité de traversée de répertoires pour les
archives RAR version 2.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14121";>CVE-2017-14121</a>

<p>Ce CVE est relatif à un défaut de déréférencement de pointeur NULL déclenché
pan une archive RAR contrefaite pour l'occasion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14122";>CVE-2017-14122</a>

<p>Ce CVE est relatif à une lecture hors limites de tampon de pile.</p>


<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1:0.0.1+cvs20140707-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets unrar-free.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de unrar-free, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/unrar-free";>\
https://security-tracker.debian.org/tracker/unrar-free</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>

</ul>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2567.data"
# $Id: $
#use wml::debian::translation-check translation="ad6dec9a4690bade421ba996c381dc647a6b268b" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Un problème a été découvert dans libbsd, une bibliothèque  avec des fonctions
utilitaires des systèmes BSD. Un nom de symbole non terminé par NULL dans la
table de chaînes pouvait aboutir dans une lecture hors limites.</p>


<p>Pour Debian 9 <q>Stretch</q>, ce problème a été corrigé dans
la version 0.8.3-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libbsd.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de libbsd, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/libbsd";>\
https://security-tracker.debian.org/tracker/libbsd</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2566.data"
# $Id: $
#use wml::debian::translation-check translation="4ac8e507e1e9c92535a9ab99c8440d1a1d7a4e4d" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Busybox, un programme d’utilitaires pour les petits systèmes embarqués,
était affecté par plusieurs vulnérabilités de sécurité. Le projet « Common
vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-5325";>CVE-2011-5325</a>

<p>Une vulnérabilité de traversée de répertoires a été découverte dans
l’implémentation dans Busybox de tar. tar extrayait un lien symbolique pointant
en dehors du répertoire de travail utilisé et puis suivait ce lien symbolique
lors de l’extraction d’autres fichiers. Cela permettait une attaque par
traversée de répertoires lors de l’extraction d’archives compressées non
fiables.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1813";>CVE-2013-1813</a>

<p>Lorsque un nœud de périphérique ou un lien symbolique dans /dev devait être
créé dans un sous-répertoire de profondeur deux ou plus
(/dev/dir1/dir2.../nœud), les répertoires intermédiaires étaient créés avec des
permissions incorrectes.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4607";>CVE-2014-4607</a>

<p>Un dépassement d'entier pouvait se produire lors du traitement de n’importe
quelle variante de <q>littéral exécution</q> dans la fonction
lzo1x_decompress_safe. Chacun de ces trois emplacements est sujet à un
dépassement d'entier lors du traitement d’octets zéro. Cela expose le code qui
copie ces littérals à une corruption de mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9645";>CVE-2014-9645</a>

<p>La fonction add_probe dans modutils/modprobe.c dans BusyBox permettait à des
utilisateurs locaux de contourner les restrictions voulues lors du chargement
de modules de noyau à l’aide d'un caractère <q>/</q> (barre oblique) dans un
nom de module, comme le montre une commande <q>ifconfig /usbserial up</q> ou
<q>mount -t /snd_pcm none</q>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2147";>CVE-2016-2147</a>

<p>dépassement d'entier dans le client DHCP (udhcpc) dans BusyBox permet à des
attaquants distants de provoquer un déni de service (plantage) à l'aide d'un
nom de domaine encodé suivant la RFC1035 et mal formé, qui déclenche une
écriture de tas hors limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2148";>CVE-2016-2148</a>

<p>Un dépassement de tampon de tas dans le client DHCP client (udhcpc) dans
BusyBox permettait à des attaquants distants d’avoir un impact non précisé
à l’aide de vecteurs impliquant l’analyse d’OPTION_6RD.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15873";>CVE-2017-15873</a>

<p>La fonction get_next_block dans archival/libarchive
/decompress_bunzip2.c dans BusyBox avait un dépassement d'entier qui pouvait
conduire à une violation de l’accès en écriture.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16544";>CVE-2017-16544</a>

<p>Dans la fonction add_match dans libbb/lineedit.c dans BusyBox, la
fonctionnalité d’autocomplétion de l’interpréteur de commandes, utilisée pour
obtenir une liste de noms de fichier d’un répertoire, ne nettoyait pas ces noms
et aboutissait dans l’exécution de n’importe quelle séquence d’échappement dans
le terminal. Cela pouvait éventuellement résulter dans une exécution de code,
une écriture de fichier arbitraire ou d’autre attaques.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000517";>CVE-2018-1000517</a>

<p>BusyBox contenait une vulnérabilité de dépassement de tampon dans son wget
qui pouvait aboutir à un dépassement de tampon de tas. Cette attaque semble
exploitable à l’aide d’une connexion réseau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-9621";>CVE-2015-9621</a>

<p>La décompression d’un fichier zip contrefait spécialement résultait dans un
calcul de pointeur non valable et à un plantage en lisant une adresse non
valable.</p></li>

</ul>

<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1:1.22.0-19+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets busybox.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de busybox, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a rel="nofollow" href="https://security-tracker.debian.org/tracker/busybox";>\
https://security-tracker.debian.org/tracker/busybox</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2559.data"
# $Id: $
#use wml::debian::translation-check translation="cbe3debf4679a946a9a54d4142be3a988d7c6890" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité de fuite d'informations à distance et une vulnérabilité de
dépassement de tampon à distance ont été découvertes dans ConnMan, un
gestionnaire de réseau pour périphériques embarqués, qui pourraient avoir pour
conséquence un déni de service ou l'exécution de code arbitraire.</p>


<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1.33-3+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets connman.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de connman, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/connman";>\
https://security-tracker.debian.org/tracker/connman</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2552.data"
# $Id: $
#use wml::debian::translation-check translation="2151728ae4d6df0107aaa0dbd6fa9ca8a128c0d9" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Deux problèmes ont été découverts dans slirp, un émulateur SLIP/PPP utilisant
un compte d’interpréteur pour réseau commuté.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-7039";>CVE-2020-7039</a>

<p>Dû à une mauvaise gestion de la mémoire, un dépassement de tampon de tas ou
d’autres accès hors limites peuvent se produire. Cela peut conduire à un déni de
service ou à une exécution possible de code arbitraire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-8608";>CVE-2020-8608</a>

<p>Prévention d’une vulnérabilité de dépassement de tampon due à un usage
incorrect des valeurs renvoyées par snprintf.</p>


<p>Pour Debian 9 <q>Stretch</q>, ces problèmes ont été corrigés dans
la version 1:1.0.17-8+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets slirp.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de slirp, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/slirp";>\
https://security-tracker.debian.org/tracker/slirp</a>.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>

</ul>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2551.data"
# $Id: $

Répondre à