[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2017/dla-101{0-9}.wml

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Vorbis-tools est vulnérable à plusieurs problèmes pouvant aboutir à un déni
de service.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9638";>CVE-2014-9638</a>

<p>Erreur de division par zéro dans oggenc avec un fichier WAV dont le nombre de
canaux est réglé à zéro.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9639";>CVE-2014-9639</a>

<p>Dépassement dâ??entier dans oggenc à l'aide d'un nombre contrefait de canaux
dans un fichier WAV, déclenchant un accès en mémoire hors limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9640";>CVE-2014-9640</a>

<p>Lecture hors limites dans oggenc à l'aide d'un fichier raw contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6749";>CVE-2015-6749</a>

<p>Dépassement de tampon dans la fonction aiff_open dans oggenc/audio.c
à l'aide d'un fichier AIFF contrefait.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.4.0-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets vorbis-tools.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1010.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les versions 1.8.20p1 de sudo de Todd Miller et précédentes sont vulnérables
à une validation dâ??entrée (nouvelles lignes incorporées) dans la fonction
get_process_ttyname(), aboutissant à une divulgation d'informations et une
exécution de commande.</p>

<p>Lâ??annonce précédente (DLA-970-1) concernait un problème de sécurité similaire
(<a href="https://security-tracker.debian.org/tracker/CVE-2017-1000367";>CVE-2017-1000367</a>)
qui nâ??était pas entièrement corrigé.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.8.5p2-1+nmu3+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets sudo.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1011.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les versions de Puppet avant 4.10.1 désérialisent les données provenant du
réseau (de lâ??agent vers le serveur, dans ce cas) avec un format précisé par
lâ??attaquant. Cela pourrait être utilisé pour obliger la désérialisation de YAML
dâ??une manière non sûre, ce qui pourrait conduire à une exécution de code à
distance.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.7.23-1~deb7u4, en activant la sérialisation PSON sur les clients et
en refusant les formats non PSON sur le serveur.</p>

<p>Nous recommandons de mettre à niveau vos paquets puppet. Soyez sûr de mettre
à jour tous les clients avant de mettre à jour le serveur, autrement les vieux
clients ne pourront se connecter au serveur.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1012.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le moteur Graphite de rendu
de fontes, qui pourraient aboutir à un déni de service ou à l'exécution de code
arbitraire si un fichier de fonte mal formé est traité.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.3.10-1~deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphite2.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1013.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité dâ??exécution de code arbitraire dans
libcamunrar, une bibliothèque pour ajouter la prise en charge dâ??unrar au
logiciel anti-virus Clam.</p>

<p>Cela était provoqué par un dépassement d'entier aboutissant à une valeur
négative dans la variable « DestPos ». Cela permet à lâ??attaquant dâ??écrire hors
limites lors du réglage de « Mem[DestPos] ».</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 0.99-0+deb7u2 de libclamunrar.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libclamunrar.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1014.data"
# $Id: $

#use wml::debian::translation-check translation="e03db691eef0bf1e048da79524a1cbc851b57faf" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de divulgation de clef dans libgcrypt11, une
bibliothèque de routines de chiffrement.</p>

<p>Il est bien connu que lâ??implémentation en temps constant dâ??exponentiation
modulaire ne peut pas utiliser des fenêtres dynamiques. Cependant, les
bibliothèques logicielles telles que Libgcrypt, utilisée par GnuPG, continuent
dâ??utiliser des fenêtres dynamiques. Il est largement admis que, même si le
modèle complet des carrés et multiplications est observé à travers une attaque
par canal auxiliaire, le nombre de bits dâ??exposant divulgué nâ??est pas suffisant
pour conduire complète de récupération de clef à lâ??encontre de RSA. En
particulier, des fenêtres dynamiques de quatre bits divulguent seulement 40 %
des bits, et celles de cinq bits en divulguent seulement 33%.</p>

<p>-- Sliding right into disaster : Left-to-right sliding windows leak<br>
 <url "https://eprint.iacr.org/2017/627";></p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.5.0-5+deb7u6 de libgcrypt11.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libgcrypt11.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1015.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait un dépassement de tampon basé sur le tas dans radare2, un
cadriciel dâ??ingénierie inverse. La fonction grub_memmove permettait à des
attaquants de provoquer un déni de service distant.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 0.9-3+deb7u3 de radare2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets radare2.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1016.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de déni de service à distance dans la
bibliothèque et le lecteur audio mpg123. Cela était dû à une lecture hors
limites de tampon basé sur le tas dans la fonction <q>convert_latin1</q>.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.14.4-1+deb7u2 de mpg123.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mpg123.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1017.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de lecture hors limites de tampon basé sur le
tas dans SQLite, un moteur de base de données léger. La fonction getNodeSize
dans ext/rtree/rtree.c gère incorrectement les BLOB RTree sous-dimensionnés dans
une base de données contrefaite pour l'occasion.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 3.7.13-1+deb7u4 de sqlite3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets sqlite3.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1018.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait a une vulnérabilité de script intersite (XSS) dans phpldapadmin,
une interface basée sur le web pour administrer des serveurs LDAP.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.2.2-5+deb7u1 de phpldapadmin.</p>

<p>Nous vous recommandons de mettre à jour vos paquets phpldapadmin.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1019.data"
# $Id: $
Reply to: