Re: [RFR] wml://lts/security/2020/dla-244{2-4}.wml

2020-11-11 Par sujet Baptiste Jammet 
Bonjour, 

Dixit JP Guillonneau, le 11/11/2020 :

>Ces annonces de sécurité ont été publiées.
>Merci d’avance pour vos relectures.

dla-2442 :
s/mis à jour pour CVE-2019-11840/mis à jour pour le CVE-2019-11840/

dla-2444 :
s/de-encapsulateur/dé-encapsulateur/ ?

Baptiste


pgpjr_VYI7uqM.pgp
Description: Signature digitale OpenPGP

Re: [RFR] wml://lts/security/2020/dla-244{2-4}.wml

2020-11-11 Par sujet Grégoire Scano 
Bonjour,

On 11/11/20 4:26 PM, JP Guillonneau wrote:
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

rien à signaler.

Bien cordialement,
Grégoire

[RFR] wml://lts/security/2020/dla-244{2-4}.wml

2020-11-11 Par sujet JP Guillonneau 
Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.
#use wml::debian::translation-check translation="2e88af9472307ffa5164d68b2f6a48e4ebd26d7a" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Le de-encapsulateur ppp dans tcpdump 4.9.3 peut être amené à allouer une
grande quantité de mémoire.

Le tampon serait suffisamment gros pour englober toutes les données
capturées, mais il n’a nul besoin de l’être pour contenir le paquet complet du
réseau, si celui-ci n’a pas été entièrement capturé.

Pour Debian 9 Stretch, ce problème a été corrigé dans
la version 4.9.3-1~deb9u2.

Nous vous recommandons de mettre à jour vos paquets tcpdump.

Pour disposer d'un état détaillé sur la sécurité de tcpdump, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/tcpdump;>https://security-tracker.debian.org/tracker/tcpdump.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2444.data"
# $Id: $
#use wml::debian::translation-check translation="e5db2f4fb19495cb97535a208f169cf7f44d7387" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

ZeroMQ, une bibliothèque centrale légère de messagerie ne gère pas
correctement la connexion à des pairs avant que la poignée de main ne soit
achevée. Un client distant non authentifié se connectant à une application qui
utilise la bibliothèque libzmq, exécutée avec l'écoute d'un socket ayant le
chiffrage et l'authentification CURVE activés, peut tirer avantage de ce défaut
pour provoquer un déni de service affectant des clients authentifiés et chiffrés.

Pour Debian 9 Stretch, ce problème a été corrigé dans
la version 4.2.1-4+deb9u3.

Nous vous recommandons de mettre à jour vos paquets zeromq3.

Pour disposer d'un état détaillé sur la sécurité de zeromq3, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/zeromq3;>https://security-tracker.debian.org/tracker/zeromq3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2443.data"
# $Id: $
#use wml::debian::translation-check translation="9d257d8ffbbad3fe2a83b371853e157fc6c980b7" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

golang-go.crypto a été récemment mis à jour pour
https://security-tracker.debian.org/tracker/CVE-2019-11840;>CVE-2019-11840.
Cela conduit à ce que tous les paquets utilisant le code affecté soient
recompilés pour tenir compte du correctif de sécurité.



https://security-tracker.debian.org/tracker/CVE-2019-11840;>CVE-2019-11840

Un problème a été découvert dans la bibliothèque complémentaire de
chiffrement de Go, c'est-à-dire, golang-googlecode-go-crypto. Si plus de 256 GiB
de séquences de clés sont générés ou si le compteur dépasse 32 bits,
l’implémentation d’amd64 générera d’abord une sortie incorrecte, puis reviendra
à la séquence précédente. Des répétitions d’octets de séquence peuvent conduire
à une perte de confidentialité dans les applications de chiffrement ou à une
prédictibilité dans les applications CSPRNG.



Pour Debian 9 Stretch, ce problème a été corrigé dans la
version 3 0.0.7-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets obfs4proxy.

Pour disposer d'un état détaillé sur la sécurité de obfs4proxy, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/obfs4proxy;>https://security-tracker.debian.org/tracker/obfs4proxy

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2442.data"
# $Id: $