[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2017/dla-103{0-9}.wml

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.



--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Vim 8.0 permet à des attaquants de provoquer un déni de service (libération
non valable) ou dâ??avoir un impact non précisé à l'aide d'un fichier source
contrefait (alias -S).</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2:7.3.547-7+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets vim.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1030.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>L'équipe de sécurité de Google a découvert que le visualisateur de document
Evince utilise de manière non sécurisée tar lors de lâ??ouverture des archives de
bandes dessinées compressées (CBT). Lâ??ouverture dâ??une archive CBT malveillante
pourrait aboutir à l'exécution de code arbitraire. Cette mise à jour désactive
entièrement le format CBT.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.4.0-3.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets evince.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1031.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Depuis la publication de la dernière version stable de Debian (Stretch),
Debian LTS (Wheezy) a été renommé <q>oldoldstable</q>, ce qui casse le paquet
unattended-upgrades comme décrit dans le bogue n° 867169. Les mises à jour ne
seront tout simplement plus réalisées.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.79.5+wheezy3. Remarquez que la dernière version de
unattended-upgrades publiée dans les dernières versions nâ??ont pas le même
comportement, car elles utilisent le nom de code de la publication (par exemple,
<q>Jessie</q>) au lieu du nom de la suite (par exemple, <q>oldstable</q>) dans
le fichier de configuration. Aussi la transition des prochaines publications se
déroulera correctement pour les futures publications LTS.</p>

<p>Nous vous recommandons de mettre à jour vos paquets unattended-upgrades.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1032.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de déni de service dans memcached, un
système de mise en cache en mémoire dâ??objets et de haute performance.</p>

<p>La fonction try_read_command permettait à des attaquants distants de
provoquer un déni de service à l'aide d'une requête pour ajouter ou régler une
clef, qui réalise une comparaison entre un entier signé ou non signé qui
déclenchait une lecture hors limites de tampon basé sur le tas.</p>

<p>Cette vulnérabilité existait à cause dâ??un correctif incomplet pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8705";>CVE-2016-8705</a>.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.4.13-0.2+deb7u3 de memcached.</p>

<p>Nous vous recommandons de mettre à jour vos paquets memcached.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1033.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans PHP (acronyme récursif pour PHP :
Hypertext Preprocessor), un langage de script généraliste au source libre
couramment utilisé, particulièrement bien adapté pour le développement web et
pouvant être embarqué dans du HTML.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10397";>CVE-2016-10397</a>

<p>Un traitement incorrect de divers composantes dâ??URI dans l'analyseur dâ??URL
pourrait être utilisé par des attaquants pour contourner les vérifications dâ??URL
spécifiques à lâ??hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11143";>CVE-2017-11143</a>

<p>Une libération non valable dans la désérialisation WDDX de paramètres
booléens pourrait être utilisée par des attaquants capable dâ??injecter du XML pour
une désérialisation et planter lâ??interpréteur PHP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11144";>CVE-2017-11144</a>

<p>Le code dâ??extension PEM dâ??étanchéité dâ??OpenSSL ne vérifiait pas la valeur
de renvoi de la fonction « sealing » dâ??OpenSSL. Cela pourrait conduire à un
plantage de lâ??interpréteur PHP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11145";>CVE-2017-11145</a>

<p>Le manque de vérification de limites dans le code dâ??analyse de
timelib_meridian de lâ??extension de date pourrait être utilisé par des attaquants
capables de fournir des chaînes de date pour une fuite dâ??information à partir de
lâ??interpréteur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11147";>CVE-2017-11147</a>

<p>Le gestionnaire dâ??archives PHAR pourrait être utilisé par des attaquants
fournissant un fichier dâ??archive malveillant pour planter lâ??interpréteur PHP ou
éventuellement divulguer des informations à cause dâ??une lecture excessive de
tampon dans la fonction phar_parse_pharfile dans ext/phar/phar.c.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 5.4.45-0+deb7u9.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1034.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur rapide
de processeur. Le projet « Common vulnérabilités et Exposures » (CVE) identifie
les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9603";>CVE-2016-9603</a>

<p>qemu-kvm construit avec lâ??émulateur VGA Cirrus CLGD 54xx et la prise en
charge du pilote dâ??affichage VNC est vulnérable à un problème de dépassement de
tampon basé sur le tas. Il pourrait se produire lorsquâ??un client Vnc essaie de
mettre à jour son affichage après quâ??une opération vga est réalisée par un
client.</p>

<p>Un utilisateur ou processus privilégié dans un client pourrait utiliser ce
défaut pour planter le processus Qemu aboutissant à un déni de service OU
éventuellement être exploité pour exécuter du code arbitraire sur lâ??hôte avec
les privilèges du processus de Qemu.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7718";>CVE-2017-7718</a>

<p>qemu-kvm built avec la prise en charge de lâ??émulateur VGA Cirrus CLGD 54xx
est vulnérable à un problème dâ??accès hors limites. Il pourrait se produire lors
de la copie de données VGA à lâ??aide des fonctions bitblt cirrus_bitblt_rop_fwd_transp_
ou cirrus_bitblt_rop_fwd_.</p>

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour
planter le processus de Qemu aboutissant à dans un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7980";>CVE-2017-7980</a>

<p>qemu-kvm built avec la prise en charge de lâ??émulateur VGA Cirrus CLGD 54xx
est vulnérable à des problèmes dâ??accès r/w hors limites. Il pourrait se
produire lors de la copie de données VGA à lâ??aide de diverses fonctions bitblt.</p>

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour planter le processus de Qemu aboutissant à un déni de service OU
éventuellement à une exécution de code arbitraire sur lâ??hôte avec les privilèges
du processus de Qemu sur lâ??hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9602";>CVE-2016-9602</a>

<p>Quick Emulator (Qemu) construit avec VirtFS, le partage de répertoires dâ??hôte
à lâ??aide de la prise en charge de Plan 9 File System (9pfs), est vulnérable à
un problème de suivi de lien incorrect. Il pourrait se produire lors de lâ??accès
à des fichiers de lien symbolique sur un répertoire hôte partagé.</p>

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour
accéder au système de fichiers hôte au-delà du répertoire partagé et
éventuellement augmenter ses privilèges sur lâ??hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7377";>CVE-2017-7377</a>

<p>Quick Emulator (Qemu) construit avec la prise en charge du dorsal virtio-9p
est vulnérable à un problème de fuite de mémoire. Il pourrait se produire
lors dâ??une opération dâ??E/S à lâ??aide dâ??une routine v9fs_create/v9fs_lcreate.</p>

<p>Un utilisateur ou processus privilégié dans un client pourrait utiliser ce
défaut pour divulguer la mémoire de lâ??hôte aboutissant à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7471";>CVE-2017-7471</a>

<p>Quick Emulator (Qemu) construit avec VirtFS, le partage de répertoires dâ??hôte
à lâ??aide de la prise en charge de Plan 9 File System (9pfs), est vulnérable à
un problème de contrôle dâ??accès incorrect. Il pourrait se produire lors de
lâ??accès à des fichiers du répertoire partagé de lâ??hôte.</p>

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour
accéder au-delà du répertoire partagé et éventuellement augmenter ses privilèges
sur lâ??hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7493";>CVE-2017-7493</a>

<p>Quick Emulator (Qemu) construit avec VirtFS, le partage de répertoires dâ??hôte
à lâ??aide de la prise en charge de Plan 9 File System (9pfs), est vulnérable à un
problème de contrôle dâ??accès. Il pourrait se produire lors dâ??accès incorrect
de fichiers de métadonnées virtfs avec le mode de sécurité mapped-file.</p>

<p>Un utilisateur de client pourrait utiliser cela défaut pour augmenter ses
droits dans le client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8086";>CVE-2017-8086</a>

<p>Quick Emulator (Qemu) construit avec la prise en charge du dorsal virtio-9p
est vulnérable à une fuite de mémoire. Elle pourrait se produire lors de la
requête dâ??attributs étendus de système de fichiers à lâ??aide dâ??une routine
9pfs_list_xattr().</p>

<p>Un utilisateur ou processus privilégié dans un client pourrait utiliser ce
défaut pour divulguer la mémoire de lâ??hôte aboutissant à un déni de service.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.1.2+dfsg-6+deb7u22.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1035.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans gsoap, une bibliothèque pour le
développement de services et clients web de SOAP qui peut être exposée à un
message XML spécifique de plus de 2 GB. Après la réception de ce message de
2 GB, un dépassement de tampon peut provoquer un plantage dâ??un serveur ouvert
non sécurisé. Les clients communicant par HTTPS avec des serveur fiables ne sont
pas touchés.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.8.7-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets gsoap.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1036.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un défaut de dépassement de capacité de tampon par le bas a été découvert
dans catdoc, un extracteur de texte pour les fichiers de MS-Office, qui
pourrait conduire à un déni de service (plantage d'application) ou avoir un
impact non précisé, si un fichier spécialement contrefait est traité.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.94.4-1.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets catdoc.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1037.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10790";>CVE-2017-10790</a>

<p>La fonction _asn1_check_identifier dans GNU Libtasn1 jusquâ??à 4.12 cause un
déréférencement de pointeur NULL et un plantage lors de la lecture dâ??entrées
contrefaites déclenchant une affectation dâ??une valeur NULL dans une structure
asn1_node. Cela pourrait conduire à attaque distante de déni de service.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.13-2+deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libtasn1-3.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1038.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7480";>CVE-2017-7480</a>

<p>Le correctif originel introduisait de nouvelles expressions rationnelles pour
une meilleure vérification des URL autorisées au téléchargement. Les autres
versions du paquet dans Jessie, Stretch et Sid nâ??utilisent pas ce correctif mais
désactivent par défaut le téléchargement de tout à lâ??aide de rkhunter.conf. Dans
le but de faire que cette version soit cohérente avec toutes les autres
distributions et ne casse pas les installations existantes, cela sera fait
aussi dans Wheezy.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.4.0-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets rkhunter.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1039.data"
# $Id: $
Reply to: