[RFR] wml://security/2019/dsa-445{0,1}.wml

2019-05-25 Par sujet Jean-Pierre Giraud 
Bonjour,
deux nouvelles annonces de sécurité viennent d'être publiées.
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="c3b54d80ebdc7aa0436ea7ba60558c0f42cd6967" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Plusieurs problèmes de sécurité ont été découverts dans Thunderbird :
plusieurs vulnérabilités pourraient conduire à l'exécution de code
arbitraire ou à un déni de service.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 1:60.7.0-1~deb9u1.

Nous vous recommandons de mettre à jour vos paquets thunderbird.

Pour disposer d'un état détaillé sur la sécurité de thunderbird,
veuillez consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/thunderbird;>\
https://security-tracker.debian.org/tracker/thunderbird.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4451.data"
# $Id: $
#use wml::debian::translation-check translation="1f0499097245903ed56eee01d867c3b58d1dfac0" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Une vulnérabilité a été découverte dans l'implémentation du protocole
WPA fournie dans wpa_supplication (station) et hostapd (point d'accès).

L'implémentation de EAP-pwd dans hostapd (serveur EAP) et wpa_supplicant
(pair EAP) ne valide pas correctement l'état de réassemblage de fragments
lors de la réception d'un fragment imprévu. Cela pourrait conduire au
plantage du processus dû à un déréférencement de pointeur NULL.

Un attaquant dans la portée d'une station ou d'un point d'accès prenant
en charge de EAP-pwd pourrait provoquer un plantage du processus
correspondant (wpa_supplicant ou hostapd), assurant un déni de service.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la
version 2:2.4-1+deb9u4.

Nous vous recommandons de mettre à jour vos paquets wpa.

Pour disposer d'un état détaillé sur la sécurité de wpa, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/wpa;>\
https://security-tracker.debian.org/tracker/wpa.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4450.data"
# $Id: $

[RFR] wml://security/2019/dsa-4452.wml

2019-05-25 Par sujet Thomas Vincent 
Bonjour,

Voici une proposition de traduction pour une annonce de sécurité qui
vient d’être publiée.
Merci d’avance pour vos relectures.

Amicalement,
Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent"
Mise à jour de sécurité

Plusieurs problèmes de sécurité ont été découverts dans jackson-databind, une
bibliothèque Java pour analyser du JSON et d’autres formats de données. Ces
problèmes de sécurité pourraient résulter en la divulgation d'informations ou
l'exécution de code arbitraire.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2.8.6-1+deb9u5.

Nous vous recommandons de mettre à jour vos paquets jackson-databind.

Pour disposer d'un état détaillé sur la sécurité de jackson-databind, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/jackson-databind;>\
https://security-tracker.debian.org/tracker/jackson-databind


# do not modify the following line
#include "$(ENGLISHDIR)/security/2019/dsa-4452.data"
# $Id: $


signature.asc
Description: OpenPGP digital signature

Re: [RFR] wml://lts/security/2018/dla-136{0..9}wml

2019-05-25 Par sujet Baptiste Jammet 
Bonjour, 

Dixit JP Guillonneau, le 25/05/2019 :

>Ces (anciennes) annonces de sécurité ont été publiées.

dla-1365 :
-une vulnérabilité
+Une vulnérabilité

dla-1367 :
-Une problème
+Un problème

dla-1368 :
-bogue n°550184
+bogue n° 550184

Baptiste
(Relectures rapide, pardon pour le manque de mise en forme)


pgpt2LunUuG8l.pgp
Description: Signature digitale OpenPGP

Re: [RFR] wml://lts/security/2019/dla-17{77-2,91,92,92-2,93,94,95,96,97}.wml

2019-05-25 Par sujet Baptiste Jammet 
Bonjour, 

Dixit JP Guillonneau, le 21/05/2019 :

>Ces annonces de sécurité ont été publiées.

dla-1795 :
-Le XWD module
+Le module XWD

dla-1796 :
-Appels Gem::UserInteraction#verbose calls exprimés
+Appels Gem::UserInteraction#verbose exprimés

-qui est eval-ué
+qui est evalué

Baptiste


pgpxYnqvCL3LH.pgp
Description: Signature digitale OpenPGP

[RFR] wml://lts/security/2018/dla-136{0..9}wml

2019-05-25 Par sujet JP Guillonneau 
Bonjour,

Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-13xx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-13xx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou une
fuite d'informations.



https://security-tracker.debian.org/tracker/CVE-2017-0861;>CVE-2017-0861

Robb Glasser a signalé une potentielle utilisation de mémoire après
libération dans le cœur PCM (son) d'ALSA. Nous croyons que cela n'est pas
possible dans la pratique.

https://security-tracker.debian.org/tracker/CVE-2017-5715;>CVE-2017-5715

Plusieurs chercheurs ont découvert une vulnérabilité dans divers
processeurs prenant en charge l'exécution spéculative, permettant à un
attaquant contrôlant un processus non privilégié de lire la mémoire à
partir d'adresses arbitraires, y compris à partir du noyau et de tous les
autres processus exécutés dans le système.

Cette attaque particulière a été nommée Spectre variante 2 (« branch
target injection ») et elle est palliée pour l'architecture Intel x86
(amd64 et i386) en utilisant la fonction de compilateur « retpoline » qui
permet d'isoler les branches indirectes des exécutions spéculatives.

https://security-tracker.debian.org/tracker/CVE-2017-13166;>CVE-2017-13166

Un bogue a été découvert dans la couche de compatibilité 32 bits du code
de traitement IOCTL v4l2. Les protections de la mémoire assurant que les
tampons fournis par l'utilisateur pointaient toujours vers la mémoire de
l'espace utilisateur étaient désactivées, permettant que l'adresse de
destination soit dans l'espace du noyau. Sur un noyau 64 bits, un
utilisateur local doté d'un accès à un périphérique vidéo adéquat peut
exploiter cela pour écraser la mémoire du noyau, menant à une augmentation
de droits.

https://security-tracker.debian.org/tracker/CVE-2017-16526;>CVE-2017-16526

Andrey Konovalov a signalé que le sous-système UWB peut déréférencer un
pointeur non valable en cas d'erreur. Un utilisateur local pourrait être
capable d'utiliser cela pour un déni de service.

https://security-tracker.debian.org/tracker/CVE-2017-16911;>CVE-2017-16911

Andrey Konovalov a signalé que le sous-système UWB peut déréférencer un
pointeur non valable en cas d'erreur. Un utilisateur local pourrait être
capable d'utiliser cela pour un déni de service.

https://security-tracker.debian.org/tracker/CVE-2017-16912;>CVE-2017-16912

Secunia Research a signalé que le pilote restreint USB/IP échouait à
réaliser une vérification d'intervalle sur le champ d'en-tête d'un paquet
reçu, menant à une lecture hors limites. Un utilisateur distant capable de
se connecter au serveur USB/IP pourrait utiliser cela pour un déni de
service.

https://security-tracker.debian.org/tracker/CVE-2017-16913;>CVE-2017-16913

Secunia Research a signalé que le pilote restreint USB/IP échouait à
réaliser une vérification d'intervalle sur le champ d'en-tête d'un paquet
reçu, menant à une allocation excessive de mémoire. Un utilisateur distant
capable de se connecter au serveur USB/IP pourrait utiliser cela pour un
déni de service.

https://security-tracker.debian.org/tracker/CVE-2017-16914;>CVE-2017-16914

Secunia Research a signalé que le pilote restreint USB/IP échouait à
réaliser une vérification d'intervalle sur le champ d'en-tête d'un paquet
reçu, menant à une allocation excessive de mémoire. Un utilisateur distant
capable de se connecter au serveur USB/IP pourrait utiliser cela pour un
déni de service.

https://security-tracker.debian.org/tracker/CVE-2017-18017;>CVE-2017-18017

Denys Fedoryshchenko a signalé que le module xt_TCPMSS de netfilter
échouait à valider la longueur des en-têtes TCP, menant éventuellement à
une utilisation de mémoire après libération. Si ce module est chargé, il
pourrait être utilisé par un attaquant distant pour un déni de service ou
éventuellement pour l'exécution de code.

https://security-tracker.debian.org/tracker/CVE-2017-18203;>CVE-2017-18203

Hou Tao a signalé qu'il y avait une situation de compétition dans la
création et la suppression de périphériques « device-mapper » (DM). Un
utilisateur local pourrait éventuellement utiliser cela pour un déni de
service.

https://security-tracker.debian.org/tracker/CVE-2017-18216;>CVE-2017-18216

Alex Chen a signalé que le système de fichiers OCFS2 échouait à
maintenir un verrou nécessaire durant les opérations de fichier de
nodemanager de sysfs, menant