Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="343fa0cd30d7d857590aa2cea3df39f1ececae6a" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Il a été découvert qu’il existait deux problèmes dans la branche 1.0 du
système de chiffrement OpenSSL.
https://security-tracker.debian.org/tracker/CVE-2021-23840;>CVE-2021-23840
Les appels à EVP_CipherUpdate, EVP_EncryptUpdate et EVP_DecryptUpdate pouvaient
dépasser l’argument de longueur de sortie dans certains cas où la longueur de
l’entrée est proche de la longueur totale permise pour un entier sur la
plateforme. Dans de tels cas, la valeur de retour de l’appel de fonction
serait 1 (indication de réussite) mais la valeur de longueur de sortie serait
négative. Cela pourrait causer les applications à se comporter incorrectement
ou à planter. OpenSSL versions 1.1.1i et précédentes sont affectées par ce
problème. Les utilisateurs de telles versions devraient mettre à niveau vers
OpenSSL 1.1.1j. OpenSSL versions 1.0.2x et précédentes sont affectées par ce
problème. Cependant, OpenSSL 1.0.2 n’est plus pris en charge et ne reçoit
plus de mises à jour publiques. Les utilisateurs de la prise en charge Premium
d’OpenSSL 1.0.2 devraient mettre à niveau vers la version 1.0.2y. Les autres
utilisateurs devraient le faire vers la version 1.1.1j. Problème corrigé dans
OpenSSL 1.1.1j (version affectée 1.1.1-1.1.1i). Problème corrigé dans
OpenSSL 1.0.2y (versions affectées 1.0.2-1.0.2x).
https://security-tracker.debian.org/tracker/CVE-2021-23841;>CVE-2021-23841
La fonction de l’API publique d’OpenSSL X509_issuer_and_serial_hash() essaie
de créer une valeur d’hachage unique basée sur l’émetteur et les données de
numéro de série contenues dans le certificat X509. Cependant elle échoue à gérer
correctement toute erreur survenant lors de l’analyse le champ de l’émetteur
(ce qui peut se produire si le champ de l’émetteur est malveillant). Cela peut
résulter dans un déréférencement de pointeur NULL et un plantage conduisant
à attaque possible par déni de service.
Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 1.0.2u-1~deb9u4. Pour les modifications équivalentes dans la
branche 1.1, veuillez consulter l’annonce DLA-2563-1.
Nous vous recommandons de mettre à jour vos paquets openssl1.0.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2565.data"
# $Id: $
#use wml::debian::translation-check translation="29764ac3c02e2e15048c7eb4eae96aa68c64a0bb" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Alex Birnberg a découvert une vulnérabilité de script intersite (XSS) dans
le cadriciel d’applications Horde, plus précisément dans son API Text Filter.
Un attaquant pourrait contrôler la boîte aux lettres de l’utilisateur en
envoyant un courriel contrefait.
https://security-tracker.debian.org/tracker/CVE-2021-26929;>CVE-2021-26929
Un problème d’XSS a été découvert dans Horde Groupware Webmail Edition
(dans laquelle la bibliothèque Horde_Text_Filter est utilisée). Un attaquant
peut envoyer un message de courriel en texte simple, avec du JavaScript encodé
sous forme de lien, ou un courriel mal géré par le préprocesseur dans Text2html.php
parce que l’utilisation personnalisée de \x00\x00\x00 et \x01\x01\x01 interfère
avec les défenses XSS.
Pour Debian 9 Stretch, ce problème a été corrigé dans
la version 2.3.5-1+deb9u1.
Nous vous recommandons de mettre à jour vos paquets php-horde-text-filter.
Pour disposer d'un état détaillé sur la sécurité de php-horde-text-filter, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/php-horde-text-filter;>\
https://security-tracker.debian.org/tracker/php-horde-text-filter.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2564.data"
# $Id: $
#use wml::debian::translation-check translation="9c0334c6c7b5d8409cd9adb0b04bb39c5334b4cd" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Il a été découvert qu’il existait deux problèmes dans le système de
chiffrement d’OpenSSL.
