Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="92ba3c73f70957746efa761a17e9e08f00f53e4c" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Plusieurs problèmes de sécurité ont été découverts dans le navigateur web
Firefox de Mozilla, qui pourraient éventuellement aboutir dans l'exécution de
code arbitraire ou à une attaque temporelle des clés de chiffrement.
Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 68.9.0esr-1~deb8u2.
Remarque : 68.9.0esr-1~deb8u2 corrige une erreur de construction i386
dans 68.9.0esr-1~deb8u1 pour le reste identique, téléversé mais pas publié.
Nous vous recommandons de mettre à jour vos paquets firefox-esr.
Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2243.data"
# $Id: $
#use wml::debian::translation-check translation="17d4c242ab055d2283825097058cc25beb58ea60" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou une
fuite d'informations.
https://security-tracker.debian.org/tracker/CVE-2015-8839;>CVE-2015-8839
Une situation de compétition a été découverte dans lâimplémentation du
système de fichiers ext4. Un utilisateur local pourrait exploiter cela pour
provoquer un déni de service (corruption du système de fichiers).
https://security-tracker.debian.org/tracker/CVE-2018-14610;>CVE-2018-14610,
https://security-tracker.debian.org/tracker/CVE-2018-14611;>CVE-2018-14611,
https://security-tracker.debian.org/tracker/CVE-2018-14612;>CVE-2018-14612,
https://security-tracker.debian.org/tracker/CVE-2018-14613;>CVE-2018-14613
Wen Xu du SSLab à Gatech a signalé que des volumes Btrfs contrefaits pourraient
déclencher un plantage (Oops) ou un accès en mémoire hors limites. Un attaquant
capable de monter un tel volume pourrait utiliser cela pour provoquer un déni de
service ou, éventuellement, pour une élévation des privilèges.
https://security-tracker.debian.org/tracker/CVE-2019-5108;>CVE-2019-5108
Mitchell Frank de Cisco a découvert que quand la pile IEEE 802.11 (WiFi) était
utilisée dans le mode accès sans fil (AP) avec itinérance, elle pouvait déclencher
lâitinérance pour une nouvelle station associée avant que la station ne soit
authentifiée. Un attaquant dans la portée du point dâaccès pourrait utiliser
cela pour provoquer un déni de service, soit en remplissant une table de
commutateur ou en redirigeant ailleurs le trafic dâautres stations.
https://security-tracker.debian.org/tracker/CVE-2019-19319;>CVE-2019-19319
Jungyeon a découvert quâun système de fichiers contrefait peut provoquer que
lâimplémentation dâext4 alloue ou désalloue des blocs de journal. Un utilisateur
autorisé à monter des systèmes de fichiers pourrait utiliser cela pour provoquer
un déni de service (plantage), ou, éventuellement, pour une élévation des
privilèges.
https://security-tracker.debian.org/tracker/CVE-2019-19447;>CVE-2019-19447
Il a été découvert que le pilote du système de fichiers ext4 ne gérait pas
de manière sécurisée la dissociation dâun inÅud qui, à cause de la corruption du
système de fichiers, a un total de lien égal à zéro. Un attaquant capable de
monter des volumes ext4 arbitraires pourrait utiliser cela pour provoquer un
déni de service (corruption de mémoire ou plantage) ou, éventuellement, pour une
élévation des privilèges.
https://security-tracker.debian.org/tracker/CVE-2019-19768;>CVE-2019-19768
Tristan Madani a signalé une situation de compétition dans lâutilitaire
blktrace de débogage qui pourrait aboutir dans une utilisation de mémoire après
libération. Un utilisateur local, capable de déclencher lâenlèvement de
périphériques blocs, pourrait éventuellement utiliser cela afin de provoquer un
déni de service (plantage) ou pour une élévation des privilèges.
https://security-tracker.debian.org/tracker/CVE-2019-20636;>CVE-2019-20636
Lâoutil syzbot a trouvé que le sous-système de saisie ne vérifie pas
complètement les modifications de codes de touche, ce qui pourrait aboutir à une
écriture de tas hors limites. Un utilisateur local, autorisé à accéder au nÅud de
périphérique pour un périphérique de