[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2018/dsa-411{2,3,4}.wml

Bonjour,
trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>jackson-databind, une bibliothèque Java utilisée pour l'analyse de JSON
et d'autres formats de données, ne validait pas correctement les entrée de
l'utilisateur avant de tenter la désérialisation. Cela permettait à un
attaquant de réaliser l'exécution de code en fournissant une entrée
contrefaite.</p>

<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 2.4.2-2+deb8u3.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 2.8.6-1+deb9u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jackson-databind.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de jackson-databind,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/jackson-databind";>\
https://security-tracker.debian.org/tracker/jackson-databind</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4114.data"
# $Id: dsa-4114.wml,v 1.1 2018/02/16 00:18:22 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans les bibliothèques du codec
de compression audio Vorbis, qui pourraient avoir pour conséquence un déni
de service ou l'exécution de code arbitraire lors du traitement d'un
fichier média mal formé.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 1.3.5-4+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libvorbis.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de libvorbis, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/libvorbis";>\
https://security-tracker.debian.org/tracker/libvorbis</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4113.data"
# $Id: dsa-4113.wml,v 1.1 2018/02/16 00:18:22 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17563";>CVE-2017-17563</a>

<p>Jan Beulich a découvert qu'une vérification incorrecte de dépassement de
compte de références dans le mode « shadow » de x86 peut avoir pour
conséquence un déni de service ou une augmentation de droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17564";>CVE-2017-17564</a>

<p>Jan Beulich a découvert qu'un traitement incorrect d'erreur de compte de
références dans le mode « shadow » de x86 peut avoir pour conséquence un
déni de service ou une augmentation de droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17565";>CVE-2017-17565</a>

<p>Jan Beulich a découvert qu'une vérification incomplète de bogue dans le
traitement du mode « log-dirty » de x86 peut avoir pour conséquence un déni
de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17566";>CVE-2017-17566</a>

<p>Jan Beulich a découvert que les clients PV de x86 peuvent obtenir un
accès à des pages à usage interne qui pourrait avoir pour conséquence un
déni de service ou une potentielle augmentation de droits.</p></li>

</ul>

<p>En complément, cette mise à jour fournit le « shim » <q>Comet</q> pour
traiter les vulnérabilités de type Meltdown pour les clients avec des
noyaux PV anciens. Le paquet fournit en plus l'atténuation <q>Xen PTI
stage 1</q> qui est intégrée et activée par défaut sur les systèmes Intel
mais peut être désactivée avec l'option « xpti=false » sur la signe de
commande de l'hyperviseur (Cela n'a pas de sens d'utiliser à la fois xpti
et le « shim » Comet.)</p>

<p>Veuillez consulter l'URL suivante pour plus de détails sur la manière de
configurer des stratégies individuelles d'atténuation :
<a href="https://xenbits.xen.org/xsa/advisory-254.html";>\
https://xenbits.xen.org/xsa/advisory-254.html</a></p>

<p>Des informations supplémentaires peuvent être trouvées dans README.pti
et README.comet.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 4.8.3+comet2+shim4.10.0+comet3-1+deb9u4.1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xen.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de xen, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/xen";>\
https://security-tracker.debian.org/tracker/xen</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4112.data"
# $Id: dsa-4112.wml,v 1.1 2018/02/16 00:18:22 jipege1-guest Exp $
Reply to: