[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2017/dla-102{0-9}.wml

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Jetty8, un moteur de servlet Java et un serveur web, était vulnérable à une
attaque temporelle pouvant dévoiler les identifiants chiffrés, tels que les
mots de passe, à un utilisateur local.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 6.1.26-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jetty.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1020.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Jetty8, un moteur de servlet Java et un serveur web, était vulnérable à une
attaque temporelle pouvant dévoiler les identifiants chiffrés, tels que les
mots de passe, à un utilisateur local.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 8.1.3-4+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jetty8.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1021.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Deux vulnérabilités ont été découvertes dans la bibliothèque libtiff et les
outils inclus. Cela pourrait permettre une exécution de code arbitraire.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9936";>CVE-2017-9936</a>

<p>Une document TIFF contrefait peut conduire à fuite de mémoire aboutissant à
une attaque distante par déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10688";>CVE-2017-10688</a>

<p>Une entrée contrefaite conduit à une attaque distante par déni de service.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.0.2-6+deb7u15.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tiff.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1022.data"
# $Id: $

#use wml::debian::translation-check translation="2d8aa8ce4c88e03582c09befc9ad03c6b190bfbf" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité a été découverte dans la bibliothèque libtiff et les outils
inclus. Cela pourrait permettre une exécution de code arbitraire.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9936";>CVE-2017-9936</a>

<p>Un document TIFF contrefait peut conduire à une fuite de mémoire aboutissant
à attaque distante par déni de service.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.9.6-11+deb7u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tiff3.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1023.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité dans le filtre de zone de nginx, un serveur et
mandataire web. Une requête contrefaite pour l'occasion pourrait aboutir à un
dépassement d'entier et le traitement incorrect de zones HTTP, éventuellement
aboutissant à fuite d'informations sensibles.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.2.1-2.2+wheezy4+deb7u1 de nginx.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nginx.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1024.data"
# $Id: $

#use wml::debian::translation-check translation="fb36d8d30ef43fdd50a0075131d4387545f6daaa" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3142";>CVE-2017-3142</a>

<p>Un attaquant capable de recevoir et d'envoyer des messages à un serveur
DNS faisant autorité et qui a connaissance du nom d'une clé TSIG valable
peut être capable de contourner l'authentification TSIG de requêtes de
transfert de zone (« AXFR ») à l'aide d'un paquet de requête soigneusement
construit. Un serveur qui se repose uniquement sur des clés TSIG pour sa
protection sans aucune autre protection d'ACL pourrait être manipulé pour :
</p>
<ul>
<li>fournir un transfert de zone à un destinataire non autorisé ;</li>
<li>accepter des paquets NOTIFY corrompus.</li>
</ul></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3143";>CVE-2017-3143</a>

<p>Un attaquant capable de recevoir et d'envoyer des messages à un serveur
DNS faisant autorité et qui a connaissance du nom d'une clé TSIG valable
pour la zone et le service ciblés peut être capable de manipuler BIND pour
qu'il accepte une mise à jour dynamique non autorisée. </p></li>
</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:9.8.4.dfsg.P1-6+nmu2+deb7u17.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bind9.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1025.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10971";>CVE-2017-10971</a>

<p>Un utilisateur authentifié dans une session X pourrait créer un plantage ou
exécuter du code dans le contexte du serveur X en exploitant un dépassement de
pile dans la conversion de boutisme dâ??évènements X.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10972";>CVE-2017-10972</a>

<p>Des données non initialisées dans la conversion de boutisme dans la gestion
de XEvent du serveur X dâ??X.Org permettaient à des utilisateurs authentifiés
malveillants dâ??accéder à des données éventuellement privilégiées du serveur X.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2:1.12.4-6+deb7u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets serveur xorg.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1026.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Jeffrey Altman, Viktor Duchovni et Nico Williams ont repéré une vulnérabilité
de contournement dâ??identification mutuelle dans Heimdal Kerberos. Aussi connue
comme « Orpheus' Lyre », cette vulnérabilité pourrait être utilisée par un
attaquant pour monter une attaque dâ??usurpation dâ??identité de service sur le
client sâ??il est sur le chemin du réseau entre le client et le service.</p>

<p>Plus de détails peuvent être trouvés sur le site web de la vulnérabilité
(https://orpheus-lyre.info/).</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.6~git20120403+dfsg1-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets heimdal.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1027.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Robert Å?wiÄ?cki a découvert que la valeur placeholder dans les en-têtes
[Proxy-]Authorization Digest nâ??était pas initialisée ou réinitialisée avant ou
entre des affectations successives clef=valeur dans le module dâ??Apache 2
mod_auth_digest</p>

<p>En fournissant une clef initiale sans affectation « = », cela pourrait
refléter la valeur périmée dâ??une mémoire commune non initialisée utilisée par la
requête précédente conduisant à une fuite dâ??information potentiellement
confidentielle ou une erreur de segmentation.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2.2.22-13+deb7u10 de apache2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1028.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Libmtp, une bibliothèque pour communiquer avec les appareils gérant MTP (tels
les téléphones cellulaires et les lecteurs de musique), a été découverte comme
étant sensible à plusieurs vulnérabilités de dépassement d'entier qui permettent
à des appareils malveillants de provoquer un déni de service par plantage et
peut être une exécution de code à distance.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9831";>CVE-2017-9831</a>

<p>Une vulnérabilité de dépassement dâ??entier dans la fonction
ptp_unpack_EOS_CustomFuncEx du fichier ptp-pack.c de libmtp (version 1.1.12 et
antérieures) permet à des attaquants de provoquer un déni de service (accès en
mémoire hors limites) ou une exécution possible de code à distance par insertion
dâ??un appareil mobile dans un ordinateur personnel à lâ??aide dâ??un câble USB.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9832";>CVE-2017-9832</a>

<p>Une vulnérabilité de dépassement dâ??entier dans ptp-pack.c (fonction
ptp_unpack_OPL) de libmtp (version 1.1.12 et antérieures) permet à des
attaquants de provoquer un déni de service (accès en mémoire hors limites) ou
une exécution possible de code à distance par insertion dâ??un appareil mobile
dans un ordinateur personnel à lâ??aide dâ??un câble USB.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.1.3-35-g0ece104-5+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libmtp.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1029.data"
# $Id: $
Reply to: