Bulletin d'alerte Debian

DLA-2254-1 alpine -- Mise à jour de sécurité pour LTS

Date du rapport :
25 juin 2020
Paquets concernés :
alpine
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 963179.
Dans le dictionnaire CVE du Mitre : CVE-2020-14929.
Plus de précisions :

CVE-2020-14929

Alpine, dans ses versions antérieures à 2.23, continue à utiliser une connexion non sécurisée, sans avertissement, après l'envoi d’un /tls dans certaines circonstances impliquant PREAUTH, ce qui est un comportement moins sûr que l’alternative de fermer la connexion et laisser l’utilisateur décider de ce qu’il voudrait faire.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 2.11+dfsg1-3+deb8u1.

Nous vous recommandons de mettre à jour vos paquets alpine.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.