Re: [RFR] wml://lts/security/2020/dla-24{29,30,31}.wml

2020-11-08 Par sujet Grégoire Scano
Bonjour,

On 11/5/20 3:29 PM, JP Guillonneau wrote:
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

juste un petit oubli.

Bien cordialement,
Grégoire
--- dla-2431.wml	2020-11-09 11:01:41.335101717 +0800
+++ gregoire.dla-2431.wml	2020-11-09 11:05:09.732769040 +0800
@@ -52,7 +52,7 @@
 https://security-tracker.debian.org/tracker/CVE-2020-26159;>CVE-2020-26159
 
 Dans Oniguruma, un attaquant capable de fournir une expression rationnelle
-pour la compilation peut outrepasser un tampon d’un byte dans
+pour la compilation peut outrepasser un tampon d’un octet dans
 concat_opt_exact_str dans src/regcomp.c
 
 


Re: [RFR] wml://lts/security/2020/dla-24{29,30,31}.wml

2020-11-05 Par sujet bubu

bonjour,

suggestion,

amicalement,

bubu

Le 05/11/2020 à 08:29, JP Guillonneau a écrit :

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul
--- dla-2431.wml	2020-11-05 12:10:11.109387349 +0100
+++ dla-2431.relu.wml	2020-11-05 12:14:57.014695563 +0100
@@ -1,8 +1,8 @@
 #use wml::debian::translation-check translation="43410f66f58139428427baec12278be919a5d05f" maintainer="Jean-Paul Guillonneau"
 Mise à jour de sécurité pour LTS
 
-Plusieurs vulnérabilités ont été découvertes dans la bibliothèque Oniguruma
-d’expressions bibliothèque rationnelles, surtout utilisée dans des chaînes
+Plusieurs vulnérabilités ont été découvertes dans la bibliothèque Oniguruma,
+une bibliothèque d’expressions rationnelles, surtout utilisée dans des chaînes
 multi-octets (mbstring) PHP.
 
 


[RFR] wml://lts/security/2020/dla-24{29,30,31}.wml

2020-11-04 Par sujet JP Guillonneau
Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="43410f66f58139428427baec12278be919a5d05f" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans la bibliothèque Oniguruma
d’expressions bibliothèque rationnelles, surtout utilisée dans des chaînes
multi-octets (mbstring) PHP.



https://security-tracker.debian.org/tracker/CVE-2019-13224;>CVE-2019-13224

Une utilisation de mémoire après libération dans onig_new_deluxe() dans
regext.c permet à des attaquants de provoquer une divulgation éventuelle
d'informations, un déni de service, ou, éventuellement, une exécution de code
en fournissant des expressions rationnelles contrefaites. L’attaquant fournit
une paire d’expression rationnelle et de chaîne, avec un encodage multi-octet,
géré par onig_new_deluxe().

https://security-tracker.debian.org/tracker/CVE-2019-16163;>CVE-2019-16163

Oniguruma permet un épuisement de pile dans regcomp.c à cause d’une récursion
dans regparse.c.

https://security-tracker.debian.org/tracker/CVE-2019-19012;>CVE-2019-19012

Un dépassement d'entier dans la fonction search_in_range dans regexec.c dans
Onigurama conduit à une lecture hors limites, dans laquelle le décalage de cette
lecture est sous le contrôle de l’attaquant. Cela touche uniquement la version
compilée en 32 bits. Des attaquants distants peuvent provoquer un déni de
service ou une divulgation d'informations, ou, éventuellement, avoir un impact
non précisé, à l'aide d'une expression rationnelle contrefaite.

https://security-tracker.debian.org/tracker/CVE-2019-19203;>CVE-2019-19203

Un problème a été découvert dans Oniguruma. Dans la fonction
gb18030_mbc_enc_len dans le fichier gb18030.c, un pointeur UChar est
déréférencé sans vérifier s’il dépasse la chaîne mise en correspondance. Cela
conduit à une lecture hors limites de tampon de tas.

https://security-tracker.debian.org/tracker/CVE-2019-19204;>CVE-2019-19204

Un problème a été découvert dans Oniguruma. Dans la fonction
fetch_interval_quantifier (anciennement connue comme fetch_range_quantifier)
dans regparse.c, PFETCH est appelé sans vérification de PEND. Cela conduit à une
lecture hors limites de tampon de tas.

https://security-tracker.debian.org/tracker/CVE-2019-19246;>CVE-2019-19246

Oniguruma possède une lecture hors limites de tampon de tas dans
str_lower_case_match dans regexec.c.

https://security-tracker.debian.org/tracker/CVE-2020-26159;>CVE-2020-26159

Dans Oniguruma, un attaquant capable de fournir une expression rationnelle
pour la compilation peut outrepasser un tampon d’un byte dans
concat_opt_exact_str dans src/regcomp.c



Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 6.1.3-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets libonig.

Pour disposer d'un état détaillé sur la sécurité de libonig, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/libonig;>https://security-tracker.debian.org/tracker/libonig.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2431.data"
# $Id: $
#use wml::debian::translation-check translation="1a846c56ca9e5e714666f5d1ae8673f86a4cb176" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Vaisha Bernard a découvert que Blueman, un gestionnaire graphique pour
bluetooth réalisait une validation insuffisante d’une interface D-Bus. Cela
pourrait aboutir à un déni de service ou à une élévation des privilèges.

Pour Debian 9 Stretch, ce problème a été corrigé dans
la version 2.0.4-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets blueman.

Pour disposer d'un état détaillé sur la sécurité de blueman, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/blueman;>https://security-tracker.debian.org/tracker/blueman.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2430.data"
# $Id: $
#use wml::debian::translation-check