[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2017/dla-104{0-9}.wml

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.



--
Jean-Paul

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11521";>CVE-2017-11521</a>

<p>La fonction SdpContents::Session::Medium::parse dans
resip/stack/SdpContents.cxx dans reSIProcate 1.10.2 permet à des attaquants
distants de provoquer un déni de service (consommation de mémoire) en
déclenchant beaucoup de connexions de médias.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.8.5-4+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets resiprocate.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1040.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10686";>CVE-2017-10686</a>

<p>Dans Netwide Assembler (NASM) version 2.14rc0, il existe plusieurs
vulnérabilités dâ??utilisation de mémoire de tas après libération dans lâ??outil
nasm. Le tas concerné est alloué dans la fonction token() et libéré dans la
fonction detoken() (appellée par pp_getline()). Il est utilisé de nouveau dans
plusieurs positions pouvant causer plusieurs dommages. Par exemple, il provoque
une liste corrompue doublement liée dans detoken(), une double libération de
zone de mémoire ou une corruption dans delete_Token() et une écriture hors
limites dans detoken(). Il est hautement probable que cela aboutisse à une
attaque dâ??exécution de code à distance.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11111";>CVE-2017-11111</a>

<p>Dans Netwide Assembler (NASM)version 2.14rc0, preproc.c permet à des
attaquants distants de provoquer un déni de service (dépassement de tampon basé
sur le tas et plantage d'application) ou éventuellement dâ??avoir un impact non
précisé à l'aide d'un fichier contrefait.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.10.01-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nasm.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1041.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9122";>CVE-2017-9122</a>

<p>La fonction quicktime_read_moov dans moov.c dans libquicktime 1.2.4 permet à
des attaquants distants de provoquer un déni de service (boucle infinie et
consommation de CPU) à l'aide d'un fichier mp4 contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9123";>CVE-2017-9123</a>

<p>La fonction lqt_frame_duration dans lqt_quicktime.c dans libquicktime 1.2.4
permet à des attaquants distants de provoquer un déni de service (lecture de
mémoire non valable et plantage d'application) à l'aide d'un fichier mp4
contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9124";>CVE-2017-9124</a>

<p>La fonction quicktime_match_32 dans util.c dans libquicktime 1.2.4 permet à
des attaquants distants de provoquer un déni de service (déréférencement de
pointeur NULL et plantage d'application) à l'aide d'un fichier mp4 contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9125";>CVE-2017-9125</a>

<p>La fonction lqt_frame_duration dans lqt_quicktime.c dans libquicktime 1.2.4
permet à des attaquants distants de provoquer un déni de service (lecture hors
limites de tampon basé sur le tas) à l'aide d'un fichier mp4 contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9126";>CVE-2017-9126</a>

<p>La fonction quicktime_read_dref_table dans dref.c dans libquicktime 1.2.4
permet à des attaquants distants de provoquer un déni de service (dépassement de
tampon basé sur le tas et plantage d'application) à l'aide d'un fichier mp4
contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9127";>CVE-2017-9127</a>

<p>La fonction quicktime_user_atoms_read_atom dans useratoms.c dans
libquicktime 1.2.4 permet à des attaquants distants de provoquer un déni de
service (dépassement de tampon basé sur le tas et plantage d'application) à
l'aide d'un fichier mp4 contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9128";>CVE-2017-9128</a>

<p>La fonction quicktime_video_width dans lqt_quicktime.c dans
libquicktime 1.2.4 permet à des attaquants distants de provoquer un déni de
service (lecture hors limites de tampon basé sur le tas et plantage
d'application) à l'aide d'un fichier mp4 contrefait.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2:1.2.4-3+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libquicktime.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1042.data"
# $Id: $

#use wml::debian::translation-check translation="cb6bc3d73ebe6c8ee975e84a5de151bbec375689" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans le serveur de base de données
MySQL. Les vulnérabilités sont corrigées en mettant à niveau MySQL vers la
nouvelle version amont 5.5.57 qui inclut des modifications supplémentaires,
telles que des améliorations, des corrections de bogues, de nouvelles fonctions
et éventuellement des changements incompatibles. Veuillez consulter les notes de
publication de MySQL 5.5 et les annonces de mises à jour critiques d'Oracle pour
de plus amples détails :</p>
<ul>
<li><url "https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-56.html";></li>
<li><a href="https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-57.html";>https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-57.html</a></li>
<li><a href="http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html";>http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html</a></li>
</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 5.5.57-0+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mysql-5.5.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1043.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le démon racoon dans IPsec-Tools 0.8.2 et ses versions antérieures contient
une attaque par complexité de calcul exploitable à distance lors de lâ??analyse et
le stockage de fragments ISAKMP. Lâ??implémentation permet à un attaquant distant
dâ??épuiser les ressources de calcul sur le terminal distant en envoyant de
manière répétée des paquets de fragment ISAKMP dans un certain ordre tel que la
complexité de calcul dans le pire des cas est réalisée dans lâ??algorithme
utilisé pour déterminer si le réassemblage des fragments peut être réalisé.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:0.8.0-14+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ipsec-tools.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1044.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité, de déréférencement de pointeur NULL,
dâ??utilisation de mémoire après libération et de dépassement de tas, ont été
découvertes dans graphicsmagick, qui peuvent conduire à un déni de service en
consommant toute la mémoire disponible ou à des erreurs de segmentation.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.3.16-1.1+deb7u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1045.data"
# $Id: $

#use wml::debian::translation-check translation="04b2a712f0dc1f99d41ff1a394028d0309992b19" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Le gestionnaire lucene-solr prend en charge une API HTTP
(/replication?command=filecontent&amp;file=&lt;file_name&gt;) qui est vulnérable
à une attaque par traversée de répertoires. Particulièrement, cette API ne
réalise aucune validation de lâ??utilisateur précisé dans le paramètre file_name.
Cela peut permettre à un attaquant de télécharger un fichier lisible par le
processus de serveur Solr, même si cela ne concerne pas lâ??état réel de lâ??index
Solr.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
la version 3.6.0+dfsg-1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets lucene-solr.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1046.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans supervisor, un système pour contrôler
lâ??état du processus, où un client authentifié peut envoyer une requête XML-RPC
malveillante à supervisord qui exécutera des commandes arbitraires
dâ??interpréteur sur le serveur. Les commandes seront exécutées en tant que même
utilisateur que supervisord.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.0a8-1.1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets supervisor.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1047.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été trouvés dans Ghostscript, lâ??interpréteur GPL
PostScript/PDF, qui permettaient à des attaquants distants de provoquer un déni
de service (dépassement de tampon basé sur le tas et plantage d'application) ou
éventuellement dâ??avoir un impact non précisé à l'aide d'un document PostScript
contrefait.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 9.05~dfsg-6.3+deb7u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ghostscript.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1048.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une attaque par dépassement de tampon basé sur le tas dans
libsndfile, une bibliothèque pour lire et écrire des fichiers audio. Un
attaquant pourrait causer un déni de service distant en piégeant
la fonction à produire une grande quantité de données.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.0.25-9.1+deb7u4 de libsndfile.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libsndfile.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1049.data"
# $Id: $
Reply to: