• [RFR] wml://lts/security/2021/dla-2786.wml

    From JP Guillonneau@21:1/5 to All on Sun Oct 17 11:10:03 2021
    Bonjour,

    Ces annonces de sécurité ont été publiées.
    Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
    https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

    Merci d’avance pour vos relectures.

    Amicalement.

    --
    Jean-Paul

    #use wml::debian::translation-check translation="36df778cd565c0b0740a8e172a015c42ff1ee212" maintainer="Jean-Paul Guillonneau"
    <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo>
    <p>Deux problèmes de sécurité ont été découverts dans nghttp2 : un serveur,
    mandataire et client mettant en œuvre HTTP/2.</p>



    <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000168">CVE-2018-1000168</a>

    <p>Une vulnérabilité CWE-20 de validation incorrecte d’entrée a été trouvée
    dans le traitement de trame ALTSVC, qui pourrait aboutir dans une erreur de segmentation conduisant à un déni de service. Cette attaque paraît exploitable
    à l’aide d’un client réseau.</p></li>

    <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11080">CVE-2020-11080</a>

    <p>Une charge excessivement large de trame HTTP/2 SETTINGS provoque un déni
    de service. La preuve du concept de l’attaque fait appel à un client malveillant construisant une trame SETTINGS avec une longueur de 14 400 octets
    (2 400 entrées de réglage individuelles) encore et encore. Cette attaque conduit à ce le CPU fasse un pic à 100 %.</p></li>

    </ul>

    <p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
    la version 1.18.1-1+deb9u2.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets nghttp2.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de nghttp2,
    veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/nghttp2">\ https://security-tracker.debian.org/tracker/nghttp2</a>.</p>

    <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
    appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur :
    <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/lts/security/2021/dla-2786.data"
    # $Id: $

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Lucien Gentis@21:1/5 to All on Sun Oct 17 18:20:01 2021
    This is a multi-part message in MIME format.
    Bonjour,

    Préférences et suggestions

    Le 17/10/2021 à 10:59, JP Guillonneau a écrit :
    Bonjour,

    Ces annonces de sécurité ont été publiées.
    Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2021/dla-xxxx.wml
    https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2021/dla-xxxx.wml

    Merci d’avance pour vos relectures.

    Amicalement.

    --
    Jean-Paul

    --- dla-2786.wml.orig 2021-10-17 18:06:25.744560259 +0200
    +++ dla-2786.wml 2021-10-17 18:13:59.742440928 +0200
    @@ -1,7 +1,7 @@
    #use wml::debian::translation-check translation="36df778cd565c0b0740a8e172a015c42ff1ee212" maintainer="Jean-Paul Guillonneau"
    <define-tag description>Mise à jour de sécurité pour LTS</define-tag>
    <define-tag moreinfo>
    -<p>Deux problèmes de sécurité ont été découverts dans nghttp2 : un serveur,
    +<p>Deux problèmes de sécurité ont été découverts dans nghttp2 : serveur,
    mandataire et client mettant en œuvre HTTP/2.</p>


    @@ -9,17 +9,17 @@
    <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000168">CVE-2018-1000168</a>

    <p>Une vulnérabilité CWE-20 de validation incorrecte d’entrée a été trouvée
    -dans le traitement de trame ALTSVC, qui pourrait aboutir dans une erreur de +dans le traitement de trame ALTSVC, qui pourrait provoquer une erreur de
    segmentation conduisant à un déni de service. Cette attaque paraît exploitab
  • From JP Guillonneau@21:1/5 to All on Mon Oct 18 11:00:02 2021
    Bonjour,

    le dimanche 17 octobre 18:17, Lucien Gentis a écrit :


    Préférences et suggestions

    Merci Lucien, application de la commande patch.

    Autre appel à commentaire.


    Amicalement.

    --
    Jean-Paul

    #use wml::debian::translation-check translation="36df778cd565c0b0740a8e172a015c42ff1ee212" maintainer="Jean-Paul Guillonneau"
    <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo>
    <p>Deux problèmes de sécurité ont été découverts dans nghttp2 : serveur, mandataire et client mettant en œuvre HTTP/2.</p>



    <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000168">CVE-2018-1000168</a>

    <p>Une vulnérabilité CWE-20 de validation incorrecte d’entrée a été trouvée
    dans le traitement de trame ALTSVC, qui pourrait provoquer une erreur de segmentation conduisant à un déni de service. Cette attaque paraît exploitable
    à l’aide d’un client réseau.</p></li>

    <li><a href="https://security-tracker.debian.org/tracker/CVE-2020-11080">CVE-2020-11080</a>

    <p>Une charge excessivement large de trame HTTP/2 SETTINGS provoque un déni
    de service. Le concept de l’attaque peut être démontré en faisant appel à un client
    malveillant construisant une trame SETTINGS avec une longueur de 14 400 octets
    (2 400 entrées de réglage individuelles) encore et encore. Cette attaque induit un pic d'utilisation du CPU à 100 %.</p></li>

    </ul>

    <p>Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans
    la version 1.18.1-1+deb9u2.</p>

    <p>Nous vous recommandons de mettre à jour vos paquets nghttp2.</p>

    <p>Pour disposer d'un état détaillé sur la sécurité de nghttp2,
    veuillez consulter sa page de suivi de sécurité à l'adresse :
    <a href="https://security-tracker.debian.org/tracker/nghttp2">\ https://security-tracker.debian.org/tracker/nghttp2</a>.</p>

    <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
    appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur :
    <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag>

    # do not modify the following line
    #include "$(ENGLISHDIR)/lts/security/2021/dla-2786.data"
    # $Id: $

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?Gr=c3=a9goire_Scano?=@21:1/5 to JP Guillonneau on Mon Oct 18 21:40:03 2021
    Bonjour,

    On 10/18/21 4:57 PM, JP Guillonneau wrote:
    le dimanche 17 octobre 18:17, Lucien Gentis a écrit :


    Préférences et suggestions

    Merci Lucien, application de la commande patch.

    Autre appel à commentaire.

    rien à signaler.

    Bien cordialement,
    Grégoire

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From JP Guillonneau@21:1/5 to All on Tue Oct 26 09:40:01 2021
    Bonjour,

    merci à Grégoire, Jean-Pierre et Lucien.

    Amicalement.

    --
    Jean-Paul

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)