Re: [RFR] wml://lts/security/2020/dla-240{2,5}.wml

2020-10-12 Par sujet daniel . malgorn 
On 12/10/2020 12:25, JP Guillonneau wrote:
> Bonjour,
> 
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml
> 
> Merci d’avance pour vos relectures.
> 
> Amicalement.
> 
> --
> Jean-Paul
> 
Bonjour,

suggestions,

amicalement.

--- dla-2402AA.wml	2020-10-12 17:14:22.312465092 +0400
+++ dla-2402.wml	2020-10-12 17:16:12.493473791 +0400
@@ -8,7 +8,7 @@
 
 Un problème a été découvert dans la bibliothèque complémentaire de
 chiffrement de Go, c'est-à-dire, golang-googlecode-go-crypto. Si plus de 256 GiB
-de séquence de clé sont générés ou si le compteur dépasse 32 bits,
+de séquences de clés sont générés ou si le compteur dépasse 32 bits,
 l’implémentation d’amd64 générera d’abord une sortie incorrecte, puis reviendra
 à la séquence précédente. Des répétitions d’octets de séquence peuvent conduire
 à une perte de confidentialité dans les applications de chiffrement ou à une
@@ -26,7 +26,7 @@
 
 https://security-tracker.debian.org/tracker/CVE-2020-9283";>CVE-2020-9283
 
-La fonction golang.org/x/crypto permet une panique lors de la vérification de
+La fonction golang.org/x/crypto permet une alerte lors de la vérification de
 signature dans le paquet golang.org/x/crypto/ssh. Un client peut attaquer un
 serveur SSH acceptant des clés publiques. De plus, un serveur peut attaquer
 n’importe quel client SSH.

[RFR] wml://lts/security/2020/dla-240{2,5}.wml

2020-10-12 Par sujet JP Guillonneau 
Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="4c87452d8fcb954c99a66eed57f33137cd01dad6" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Oleg Kalnichevski a découvert que httpcomponents-client, une bibliothèque
Java pour construire des applications concernées par HTTP, pouvait mal
interpréter un composant d’autorité mal formé dans des URI de requête passés
à la bibliothèque comme objets java.net.URI et choisir le mauvais hôte cible pour
l’exécution des requêtes.

Pour Debian 9 Stretch, ce problème a été corrigé dans
la version 4.5.2-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets httpcomponents-client.

Pour disposer d'un état détaillé sur la sécurité de httpcomponents-client, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/httpcomponents-client";>https://security-tracker.debian.org/tracker/httpcomponents-client.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2405.data"
# $Id: $
#use wml::debian::translation-check translation="f4a51f158a9622c93ef970f8154be30c8e30b8fe" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS




https://security-tracker.debian.org/tracker/CVE-2019-11840";>CVE-2019-11840

Un problème a été découvert dans la bibliothèque complémentaire de
chiffrement de Go, c'est-à-dire, golang-googlecode-go-crypto. Si plus de 256 GiB
de séquence de clé sont générés ou si le compteur dépasse 32 bits,
l’implémentation d’amd64 générera d’abord une sortie incorrecte, puis reviendra
à la séquence précédente. Des répétitions d’octets de séquence peuvent conduire
à une perte de confidentialité dans les applications de chiffrement ou à une
prédictibilité dans les applications CSPRNG.

https://security-tracker.debian.org/tracker/CVE-2019-11841";>CVE-2019-11841

Un problème de contrefaçon de message a été découvert dans
crypto/openpgp/clearsign/clearsign.go dans les bibliothèques complémentaires de
chiffrement de Go. L’en-tête Hash d’Armor précise le(s) algorithme(s) de
hachage cryptographique utilisé(s) pour les signatures. Étant donné que la
bibliothèque omet en général l’analyse de l’en-tête d’Armor, un attaquant peut
non seulement embarquer des en-têtes arbitraires d’Armor, mais aussi ajouter en
début du texte arbitraire aux messages en clair sans invalider les signatures.

https://security-tracker.debian.org/tracker/CVE-2020-9283";>CVE-2020-9283

La fonction golang.org/x/crypto permet une panique lors de la vérification de
signature dans le paquet golang.org/x/crypto/ssh. Un client peut attaquer un
serveur SSH acceptant des clés publiques. De plus, un serveur peut attaquer
n’importe quel client SSH.



Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 1:0.0~git20170407.0.55a552f+REALLY.0.0~git20161012.0.5f31782-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets golang-go.crypto.

Pour disposer d'un état détaillé sur la sécurité de golang-go.crypto, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/golang-go.crypto";>https://security-tracker.debian.org/tracker/golang-go.crypto.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2402.data"
# $Id: $