[RFR2] wml://lts/security/2018/dla-158{0..9}wml
Bonjour,
le jeudi 14 mars 18:31, Baptiste Jammet a écrit :
>Quelques restes du DDTP, corrections et suggestions.
merci, tout intégré.
Autre chance de commentaire.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que systemd est sujet à plusieurs vulnérabilités de
sécurité, allant dâ??attaques par déni de service à une possible augmentation de
droits à ceux du superutilisateur.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1049">CVE-2018-1049</a>
<p>Une situation de compétition existe entre les unités .mount et .automount de
sorte que les requêtes automount du noyau pourraient ne pas être servies par
systemd, menant à ce que le noyau bloque le point de montage jusqu'à ce que nâ??importe
quel processus essayant dâ??utiliser ce <q>mount</q> gèlent. Une situation de
compétition comme celle-ci pourrait conduire à un déni de service, jusquâ??à ce
que les points de montage soient démontés.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-15686">CVE-2018-15686</a>
<p>Une vulnérabilité dans unit_deserialize de systemd permet à un attaquant de
fournir un état arbitraire à travers une réexécution de systemd à lâ??aide de
NotifyAccess. Cela peut être utilisé pour influencer improprement lâ??exécution de
systemd et éventuellement une augmentation de droits à ceux du
superutilisateur.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-15688">CVE-2018-15688</a>
<p>Une vulnérabilité de dépassement de tampon dans le client dhcp6 systemd
permet à un serveur dhcp6 malveillant de surcharger la mémoire de tas dans
systemd-networkd, qui nâ??est pas activé par défaut dans Debian.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 215-17+deb8u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets systemd.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1580.data"
# $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans uriparser, une bibliothèque
dâ??analyse dâ??identifiants normalisés (URI).</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19198">CVE-2018-19198</a>
<p>UriQuery.c permet une écriture hors limites à l'aide d'une fonction
uriComposeQuery* ou uriComposeQueryEx* parce que le caractère « & » est mal
géré dans certains contextes.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19199">CVE-2018-19199</a>
<p>UriQuery.c permet un dépassement d'entier à l'aide d'une fonction
uriComposeQuery* ou uriComposeQueryEx* à cause dâ??une absence de vérification
de multiplication.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19200">CVE-2018-19200</a>
<p>UriCommon.c permet des tentatives dâ??opérations pour une entrée NULL à l'aide
d'une fonction uriResetUri*.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.8.0.1-2+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets uriparser.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1581.data"
# $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la bibliothèque
JPEG-2000 JasPer.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5203">CVE-2015-5203</a>
<p>Gustavo Grieco a découvert une vulnérabilité de dépassement dâ??entier qui
permet à des attaquants distants de provoquer un déni de service ou dâ??avoir un
autre impact non spécifié à l'aide d'un fichier dâ??image JPEG 2000 contrefait.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5221">CVE-2015-5221</a>
<p>Josselin Feist a trouvé une vulnérabilité de double libération de zone de
mémoire qui permet à des attaquants distants de provoquer un déni de service
(plantage d'application) en traitant un fichier image malformé.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8690">CVE-2016-8690</a>
<p>Gustavo Grieco a découvert une vulnérabilité de déréférencement de pointeur
NULL qui peut provoquer un déni de service à l'aide d'un fichier image BMP
contrefait. La mise à jour inclut des correctifs pour des problèmes en rapport
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8884">CVE-2016-8884</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2016-8885">CVE-2016-8885</a>
qui complètent le correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8690">CVE-2016-8690</a>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-13748">CVE-2017-13748</a>
<p>jasper ne libère pas correctement la mémoire utilisée pour stocker lâ??image de
tuile lorsque le décodage dâ??image échoue. Cela pourrait conduire à un déni de
service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14132">CVE-2017-14132</a>
<p>Une lecture hors limites de tampon basé sur le tas a été découverte
concernant la fonction jas_image_ishomosamp qui pourrait être déclenchée Ã
l'aide d'un fichier image contrefait et causer un déni de service (plantage
d'application) ou avoir un autre impact non spécifié.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.900.1-debian1-2.4+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets jasper.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1583.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité distante de déni de service dans ruby-i18n,
une solution d'internationalisation et de régionalisation pour Ruby.</p>
<p>Un plantage d'application pourrait permettre de concevoir une situation où
« :some_key » est présent dans la structure « keep_keys » mais non présent dans
le hachage.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 0.6.9-2+deb8u1 de ruby-i18n.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ruby-i18n.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1584.data"
# $Id: $
Reply to: