Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="4c87452d8fcb954c99a66eed57f33137cd01dad6" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Oleg Kalnichevski a découvert que httpcomponents-client, une bibliothèque
Java pour construire des applications concernées par HTTP, pouvait mal
interpréter un composant dâautorité mal formé dans des URI de requête passés
à la bibliothèque comme objets java.net.URI et choisir le mauvais hôte cible pour
lâexécution des requêtes.
Pour Debian 9 Stretch, ce problème a été corrigé dans
la version 4.5.2-2+deb9u1.
Nous vous recommandons de mettre à jour vos paquets httpcomponents-client.
Pour disposer d'un état détaillé sur la sécurité de httpcomponents-client, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/httpcomponents-client";>https://security-tracker.debian.org/tracker/httpcomponents-client.
Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2405.data"
# $Id: $
#use wml::debian::translation-check translation="f4a51f158a9622c93ef970f8154be30c8e30b8fe" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
https://security-tracker.debian.org/tracker/CVE-2019-11840";>CVE-2019-11840
Un problème a été découvert dans la bibliothèque complémentaire de
chiffrement de Go, c'est-Ã -dire, golang-googlecode-go-crypto. Si plus de 256Â GiB
de séquence de clé sont générés ou si le compteur dépasse 32 bits,
lâimplémentation dâamd64 générera dâabord une sortie incorrecte, puis reviendra
à la séquence précédente. Des répétitions dâoctets de séquence peuvent conduire
à une perte de confidentialité dans les applications de chiffrement ou à une
prédictibilité dans les applications CSPRNG.
https://security-tracker.debian.org/tracker/CVE-2019-11841";>CVE-2019-11841
Un problème de contrefaçon de message a été découvert dans
crypto/openpgp/clearsign/clearsign.go dans les bibliothèques complémentaires de
chiffrement de Go. Lâen-tête Hash dâArmor précise le(s) algorithme(s) de
hachage cryptographique utilisé(s) pour les signatures. Ãtant donné que la
bibliothèque omet en général lâanalyse de lâen-tête dâArmor, un attaquant peut
non seulement embarquer des en-têtes arbitraires dâArmor, mais aussi ajouter en
début du texte arbitraire aux messages en clair sans invalider les signatures.
https://security-tracker.debian.org/tracker/CVE-2020-9283";>CVE-2020-9283
La fonction golang.org/x/crypto permet une panique lors de la vérification de
signature dans le paquet golang.org/x/crypto/ssh. Un client peut attaquer un
serveur SSH acceptant des clés publiques. De plus, un serveur peut attaquer
nâimporte quel client SSH.
Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 1:0.0~git20170407.0.55a552f+REALLY.0.0~git20161012.0.5f31782-1+deb8u1.
Nous vous recommandons de mettre à jour vos paquets golang-go.crypto.
Pour disposer d'un état détaillé sur la sécurité de golang-go.crypto, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/golang-go.crypto";>https://security-tracker.debian.org/tracker/golang-go.crypto.
Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2402.data"
# $Id: $