Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="67bf8c09e902baf452131a8e038bd19d7d2b" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Un problème a été découvert dans wpa, un ensemble d’outils pour prendre
en charge WPA et WPA2 (IEEE 802.11i). Une absence de validation des données
peut aboutir à un écrasement de tampon, pouvant conduire à un déni de service
du processus wpa_supplicant ou, éventuellement, à l’exécution de code
arbitraire.
Sur demande, avec ce téléversement, la prise en charge de
WPA-EAP-SUITE-B(-192) a été intégrée.
Pour Debian 9 Stretch, ce problème a été corrigé dans
la version 2:2.4-1+deb9u8.
Nous vous recommandons de mettre à jour vos paquets wpa.
Pour disposer d'un état détaillé sur la sécurité de wpa, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/wpa;>\
https://security-tracker.debian.org/tracker/wpa.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2572.data"
# $Id: $
#use wml::debian::translation-check translation="a8e04bbcb89a312a789fc2c81d84933c7c0ec37e" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Plusieurs problèmes ont été découverts dans openvswitch, un commutateur
Ethernet virtuel à base logicielle, utilisable en production et multicouche.
https://security-tracker.debian.org/tracker/CVE-2020-35498;>CVE-2020-35498
Des attaques par déni de service, dans lesquelles des paquets réseau
contrefaits pouvaient faire que la recherche de paquets ignore les champs
d’en-têtes réseau pour les couches 3 et 4. Les paquets réseau contrefaits étaient
des paquets IPv4 ou IPv6 ordinaires avec des remplissages Ethernet au-dessus
de 255 octets. Cela provoquait que les tests de validité esquivaient l’analyse
des champs d’en-tête après la couche 2.
https://security-tracker.debian.org/tracker/CVE-2020-27827;>CVE-2020-27827
Attaques par déni de service en utilisant des paquets LLDP contrefaits.
https://security-tracker.debian.org/tracker/CVE-2018-17206;>CVE-2018-17206
Problème de lecture excessive de tampon lors du décodage d’action BUNDLE.
https://security-tracker.debian.org/tracker/CVE-2018-17204;>CVE-2018-17204
Échec d’assertion dû à une absence de validation d’information (groupe,
type et commande) dans le décodeur OF1.5.
https://security-tracker.debian.org/tracker/CVE-2017-9214;>CVE-2017-9214
Lecture excessive de tampon provoquée par un dépassement d'entier non signé par
le bas.
https://security-tracker.debian.org/tracker/CVE-2015-8011;>CVE-2015-8011
Un dépassement de tampon dans la fonction lldp_decode dans
daemon/protocols/lldp.c dans lldpd avant la version 0.8.0 permet à des
attaquants distants de provoquer un déni de service (plantage du démon) et
éventuellement d’exécuter du code arbitraire à l’aide de vecteurs impliquant
une vaste gestion d’adresses et de limites TLV.
Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 2.6.10-0+deb9u1. Cette version est une nouvelle version de l’amont.
Nous vous recommandons de mettre à jour vos paquets openvswitch.
Pour disposer d'un état détaillé sur la sécurité de openvswitch, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/openvswitch;>\
https://security-tracker.debian.org/tracker/openvswitch.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2571.data"
# $Id: $
#use wml::debian::translation-check translation="96cfe8a78677ff41aaaf35cefbe4e9bdf06f1ea5" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Plusieurs problèmes ont été découverts dans unrar-free, un extracteur de
fichiers .rar.
https://security-tracker.debian.org/tracker/CVE-2017-14120;>CVE-2017-14120
Ce CVE est relatif à une vulnérabilité de traversée de répertoires pour les
archives RAR version 2.
https://security-tracker.debian.org/tracker/CVE-2017-14121;>CVE-2017-14121
Ce CVE est relatif à un défaut de déréférencement de pointeur NULL déclenché
pan une archive RAR contrefaite pour l'occasion.