Re: [RFR] wml://lts/security/2021/dla-25{51,52,59,66,67,71,72}.wml

[daniel . malgorn]

On 22/02/2021 14:57, JP Guillonneau wrote:
> Bonjour,
> 
> Ces annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-.wml
> 
> Merci d’avance pour vos relectures.
> 
> Amicalement.
> 
> --
> Jean-Paul
> 

Bonjour JP,

amicales suggestions.
--- dla-2559AA.wml	2021-02-22 17:21:19.382149091 +0400
+++ dla-2559.wml	2021-02-22 17:23:37.729441398 +0400
@@ -62,10 +62,10 @@
 
 Dans la fonction add_match dans libbb/lineedit.c dans BusyBox, la
 fonctionnalité d’autocomplétion de l’interpréteur de commandes, utilisée pour
-obtenir une liste de noms de fichier d’un répertoire, ne nettoyait pas ces noms
+obtenir une liste de noms de fichiers d’un répertoire, ne nettoyait pas ces noms
 et aboutissait dans l’exécution de n’importe quelle séquence d’échappement dans
 le terminal. Cela pouvait éventuellement résulter dans une exécution de code,
-une écriture de fichier arbitraire ou d’autre attaques.
+une écriture de fichier arbitraire ou d’autres attaques.
 
 https://security-tracker.debian.org/tracker/CVE-2018-1000517;>CVE-2018-1000517
 
--- dla-2571AA.wml	2021-02-22 17:20:57.542898608 +0400
+++ dla-2571.wml	2021-02-22 17:26:25.847796784 +0400
@@ -3,7 +3,7 @@
 
 
 Plusieurs problèmes ont été découverts dans openvswitch, un commutateur
-Ethernet virtuel à base logicielle, utilisable en production et multicouche.
+Ethernet virtuel à base logicielle, utilisable en production et multicouches.
 
 
 
@@ -13,8 +13,8 @@
 contrefaits pouvaient faire que la recherche de paquets ignore les champs
 d’en-têtes réseau pour les couches 3 et 4. Les paquets réseau contrefaits étaient
 des paquets IPv4 ou IPv6 ordinaires avec des remplissages Ethernet au-dessus
-de 255 octets. Cela provoquait que les tests de validité esquivaient l’analyse
-des champs d’en-tête après la couche 2.
+de 255 octets. Cela provoquait l'esquive de l’analyse des champs d’en-tête après 
+la couche 2 par les tests de validité.
 
 https://security-tracker.debian.org/tracker/CVE-2020-27827;>CVE-2020-27827
 

[RFR] wml://lts/security/2021/dla-25{51,52,59,66,67,71,72}.wml

[JP Guillonneau]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="67bf8c09e902baf452131a8e038bd19d7d2b" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Un problème a été découvert dans wpa, un ensemble d’outils pour prendre
en charge WPA et WPA2 (IEEE 802.11i). Une absence de validation des données
peut aboutir à un écrasement de tampon, pouvant conduire à un déni de service
du processus wpa_supplicant ou, éventuellement, à l’exécution de code
arbitraire.

Sur demande, avec ce téléversement, la prise en charge de
WPA-EAP-SUITE-B(-192) a été intégrée.


Pour Debian 9 Stretch, ce problème a été corrigé dans
la version 2:2.4-1+deb9u8.

Nous vous recommandons de mettre à jour vos paquets wpa.

Pour disposer d'un état détaillé sur la sécurité de wpa, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/wpa;>\
https://security-tracker.debian.org/tracker/wpa.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2572.data"
# $Id: $
#use wml::debian::translation-check translation="a8e04bbcb89a312a789fc2c81d84933c7c0ec37e" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Plusieurs problèmes ont été découverts dans openvswitch, un commutateur
Ethernet virtuel à base logicielle, utilisable en production et multicouche.



https://security-tracker.debian.org/tracker/CVE-2020-35498;>CVE-2020-35498

Des attaques par déni de service, dans lesquelles des paquets réseau
contrefaits pouvaient faire que la recherche de paquets ignore les champs
d’en-têtes réseau pour les couches 3 et 4. Les paquets réseau contrefaits étaient
des paquets IPv4 ou IPv6 ordinaires avec des remplissages Ethernet au-dessus
de 255 octets. Cela provoquait que les tests de validité esquivaient l’analyse
des champs d’en-tête après la couche 2.

https://security-tracker.debian.org/tracker/CVE-2020-27827;>CVE-2020-27827

Attaques par déni de service en utilisant des paquets LLDP contrefaits.

https://security-tracker.debian.org/tracker/CVE-2018-17206;>CVE-2018-17206

Problème de lecture excessive de tampon lors du décodage d’action BUNDLE.

https://security-tracker.debian.org/tracker/CVE-2018-17204;>CVE-2018-17204

Échec d’assertion dû à une absence de validation d’information (groupe,
type et commande) dans le décodeur OF1.5.

https://security-tracker.debian.org/tracker/CVE-2017-9214;>CVE-2017-9214

Lecture excessive de tampon provoquée par un dépassement d'entier non signé par
le bas.

https://security-tracker.debian.org/tracker/CVE-2015-8011;>CVE-2015-8011

Un dépassement de tampon dans la fonction lldp_decode dans
daemon/protocols/lldp.c dans lldpd avant la version 0.8.0 permet à des
attaquants distants de provoquer un déni de service (plantage du démon) et
éventuellement d’exécuter du code arbitraire à l’aide de vecteurs impliquant
une vaste gestion d’adresses et de limites TLV.


Pour Debian 9 Stretch, ces problèmes ont été corrigés dans
la version 2.6.10-0+deb9u1. Cette version est une nouvelle version de l’amont.

Nous vous recommandons de mettre à jour vos paquets openvswitch.

Pour disposer d'un état détaillé sur la sécurité de openvswitch, veuillez
consulter sa page de suivi de sécurité à l'adresse :
https://security-tracker.debian.org/tracker/openvswitch;>\
https://security-tracker.debian.org/tracker/openvswitch.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment
posées peuvent être trouvées sur :
https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.




# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2021/dla-2571.data"
# $Id: $
#use wml::debian::translation-check translation="96cfe8a78677ff41aaaf35cefbe4e9bdf06f1ea5" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs problèmes ont été découverts dans unrar-free, un extracteur de
fichiers .rar.



https://security-tracker.debian.org/tracker/CVE-2017-14120;>CVE-2017-14120

Ce CVE est relatif à une vulnérabilité de traversée de répertoires pour les
archives RAR version 2.

https://security-tracker.debian.org/tracker/CVE-2017-14121;>CVE-2017-14121

Ce CVE est relatif à un défaut de déréférencement de pointeur NULL déclenché
pan une archive RAR contrefaite pour l'occasion.