Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="9a1eac06b7322e5cfa0f48bafc8eaf3f694ae690" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Ruby-openid réalisait dâabord la reconnaissance et ensuite la vérification.
Cela permettait à un attaquant de modifier lâURL utilisée pour la reconnaissance
et piéger le serveur pour se connecter à cette URL. Ce serveur à son tour
pourrait être un serveur privé non accessible publiquement.
De plus, si le client qui utilise cette bibliothèque divulgue les erreurs de
connexion, cela à son tour pourrait divulguer des informations du serveur privé
à lâattaquant.
Pour Debian 8 Jessie, ce problème a été corrigé dans
la version 2.5.0debian-1+deb8u1.
Nous vous recommandons de mettre à jour vos paquets ruby-openid.
Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1956.data"
# $Id: $
#use wml::debian::translation-check translation="230513ec2eb088eb30470ebcc38b8f9c86908757" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Clamav, le moteur antivirus au source libre, est sujet aux vulnérabilités de
sécurité suivantes.
https://security-tracker.debian.org/tracker/CVE-2019-12625;>CVE-2019-12625
Vulnérabilité de déni de service (DoS), conséquence de temps dâanalyse trop
longs dûs à des bombes zip non récursives. Entre autres, ce problème était
atténué par lâintroduction dâune limite de temps dâanalyse.
https://security-tracker.debian.org/tracker/CVE-2019-12900;>CVE-2019-12900
Ãcriture hors limites dans la bibliothèque bzip2 NSIS de ClamAV lors de
lâessai de décompression dans le cas ou le nombre de sélecteurs excédait la
limite maximale définie par la bibliothèque.
Cette mise à jour déclenche une transition de libclamav7 à libclamav9. En
conséquence, plusieurs autres paquets seront recompilés à partir du paquet
corrigé après la publication de cette mise à jour : dansguardian, havp,
python-pyclamav et c-icap-modules.
Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 0.101.4+dfsg-0+deb8u1.
Nous vous recommandons de mettre à jour vos paquets clamav.
Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1953.data"
# $Id: $
#use wml::debian::translation-check translation="170189c786f9138b8a2fcf93f7ae8b973e096327" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Deux vulnérabilités ont été découvertes dans le démon de journalisation
rsyslog du système et noyau dans les analyseurs des messages de journaux AIX et
Cisco.
https://security-tracker.debian.org/tracker/CVE-2019-17041;>CVE-2019-17041
Un problème a été découvert dans Rsyslog v. 8.1908.0.
Contrib/pmaixforwardedfrom/pmaixforwardedfrom.c possède un dépassement de tas
dans lâanalyseur pour les messages de journaux dâAIX. Lâanalyseur essaie de
trouver un délimiteur de message (dans ce cas, une espace ou un deux points)
mais échoue à estimer les chaînes ne satisfaisant pas cette contrainte. Si la
chaîne ne correspond pas, alors la variable lenMsg atteindra la valeur zéro et
évitera le test de validité qui détecte les messages non valables. Le message
sera considéré comme valable et lâanalyseur gobera le délimiteur deux points
non existant. En faisant cela, il décrémentera lenMsg, un entier signé, dont la
valeur était zéro et deviendra alors moins un. Lâétape suivante dans lâanalyseur
est de décaler à gauche le contenu du message. Pour réaliser cela, il appellera
memmove avec les pointeurs corrects pour la cible et les chaînes de destination,
mais lenMsg sera alors interprété comme une valeur énorme, provoquant un
dépassement de tas.
https://security-tracker.debian.org/tracker/CVE-2019-17042;>CVE-2019-17042
Un problème a été découvert dans Rsyslog v. 8.1908.0.
Contrib/pmcisconames/pmcisconames.c possède un dépassement de tas
dans lâanalyseur pour les messages de journaux de Cisco. Lâanalyseur essaie de
trouver un délimiteur de message (dans ce cas, une espace ou un deux points)
mais