Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-.wml
Merci d’avance pour vos relectures.
Amicalement.
#use wml::debian::translation-check translation="17d1d33a4ee43a02a589137e490f76fb1ff4dac3" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Plusieurs vulnérabilités ont été découvertes dans spice-vdagent, un agent de
client spice pour améliorer lâintégration et lâutilisation de SPICE.
https://security-tracker.debian.org/tracker/CVE-2017-15108";>CVE-2017-15108
spice-vdagent ne protège pas correctement le répertoire save avant
le passage à lâinterpréteur. Cela permet à un attaquant local avec accès à la
session dans laquelle lâagent sâexécute, dâinjecter des commandes arbitraires
à exécuter.
https://security-tracker.debian.org/tracker/CVE-2020-25650";>CVE-2020-25650
Un défaut a été découvert dans la façon dont le démon spice-vdagentd gérait
le transfert de fichier du système hôte vers la machine virtuelle. Nâimporte
quel utilisateur local client non privilégié avec accès au chemin de socket
de domaine UNIX /run/spice-vdagentd/spice-vdagent-sock pourrait utiliser
ce défaut pour réaliser un déni de service de mémoire pour spice-vdagentd ou
même dâautres processus dans le système de la machine virtuelle. Le plus grand
risque de cette vulnérabilité concerne la disponibilité du système. Ce défaut
affecte les versions 0.20 et précédentes de spice-vdagent.
https://security-tracker.debian.org/tracker/CVE-2020-25651";>CVE-2020-25651
Un défaut a été découvert dans le protocole de transfert de fichier de SPICE.
Des données de fichier du système hôte peuvent arriver totalement ou en partie
dans la connexion de client dâutilisateur local illégitime dans le système de
machine virtuelle. Le transfert en cours dâautres utilisateurs pourrait aussi
être interrompu, aboutissant à un déni de service. Le plus grand risque de cette
vulnérabilité est la confidentialité des données ainsi que la disponibilité du
système.
https://security-tracker.debian.org/tracker/CVE-2020-25652";>CVE-2020-25652
Un défaut a été découvert dans le démon spice-vdagentd où il ne gérait pas
correctement les connexions de client établies à lâaide de socket de domaine
UNIX dans /run/spice-vdagentd/spice-vdagent-sock. Nâimporte quel invité
local non privilégié pourrait utiliser ce défaut pour empêcher des agents
légitime de se connecter au démon spice-vdagentd, aboutissant à un déni de
service. Le plus grand risque de cette vulnérabilité est la disponibilité du
système.
https://security-tracker.debian.org/tracker/CVE-2020-25653";>CVE-2020-25653
Une vulnérabilité de situation de compétition a été découverte dans la façon
dont le démon spice-vdagentd gérait les connexions des nouveaux clients. Ce
défaut peut permettre à un utilisateur local client de devenir un agent actif
pour spice-vdagentd, aboutissant éventuellement à un déni de service ou à une
fuite d'informations de lâhôte. Le plus grand risque de cette vulnérabilité est
la confidentialité des données ainsi que la disponibilité du système.
Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 0.17.0-1+deb9u1.
Nous vous recommandons de mettre à jour vos paquets spice-vdagent.
Pour disposer d'un état détaillé sur la sécurité de spice-vdagent, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/spice-vdagent";>https://security-tracker.debian.org/tracker/spice-vdagent.
Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur :
https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2524.data"
# $Id: $
#use wml::debian::translation-check translation="7e2e121907227c63046c343586a659966635cee3" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Plusieurs vulnérabilités de sécurité ont été trouvées dans ImageMagick, une
suite de programmes de manipulation dâimage. Un attaquant pourrait causer un
déni de service et une exécution de code arbitraire quand un fichier dâimage
contrefait est traité.
https://security-tracker.debian.org/tracker/CVE-2017-14528";>CVE-2017-14528
La fonction TIFFSetProfiles dans coders/tiff.c déduit de manière incorrecte
si les valeurs renvoyées par LibTIFF TIFFGetField impliquent que leur validation
a été réalisée. Cela permet à des attaquants distants de provoquer un déni de
service (utilisation de mémoire après libération après