[RFR] wml://lts/security/2017/dla-89{0-9}.wml
Bonjour,
ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait plusieurs dépassements de tampon basé sur le tas dans ming, une
bibliothèque pour créer des fichiers SWF (Flash).</p>
<p>Les paquets mis à jour empêchent un plantage dans lâ??utilitaire <q>listswf</q>
dû à un dépassement de tampon basé sur le tas dans la fonction parseSWF_RGBA
et dans plusieurs autres fonctions dans parser.c.</p>
<p>AddressSanitizer les signalait comme des écritures non valables <q>de
taille 1</q> mais le tas pouvait être écrit plusieurs fois. Les débordements
sont produits par un pointeur au-delà de la limite dâ??un tableau, alloué
statiquement, de structures de type SWF_GRADIENTRECORD.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1:0.4.4-1.1+deb7u2 de ming.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ming.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-890.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait un FIXME dans libnl, un FIXMEâ?¦</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.1-7+deb7u1 de libnl.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libnl.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-891.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait un dépassement d'entier dans libnl3, une bibliothèque pour des
opérations sur les sockets netlink.</p>
<p>Une vérification manquante dans nlmsg_reserve() pouvait permettre à une
application malveillante dâ??exécuter du code arbitraire à lâ??intérieur du contexte
du service Wi-Fi.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 3.2.7-4+deb7u1 de libnl3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libnl3.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-892.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de divulgation d'informations a été découverte dans Bouncy
Castle, une bibliothèque Java consistant en divers algorithmes cryptographiques.
Lâ??implémentation du mode GCM (Galois/Counter mode) omettait une vérification de
limites, ce qui pourrait permettre à une application obtenir dâ??accéder à des
informations privées dâ??utilisateur.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.44+dfsg-3.1+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets bouncycastle.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-893.data"
# $Id: $
#use wml::debian::translation-check translation="2d8aa8ce4c88e03582c09befc9ad03c6b190bfbf" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Jann Horn de Google a découvert des situations de compétition
« time-of-check », « time-of-use » dans Samba, un serveur de fichiers SMB/CIFS,
d'impression et de connexion pour Unix. Un client malveillant peut tirer parti
ce défaut en exploitant une compétition de liens symboliques pour accéder à des
domaines du système de fichiers du serveur non exportés selon une définition
du partage.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2:3.6.6-6+deb7u12.</p>
<p>Nous vous recommandons de mettre à jour vos paquets samba.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-894.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les dictionnaires fournis par ce paquet ont un conflit non versionné Ã
lâ??encontre du paquet thunderbird (qui jusquâ??à présent ne fait pas partie de
Wheezy).</p>
<p>Puisque la prochaine mise à jour dâ??Icedove adopte le paquet thunderbird, les
dictionnaires deviendront inutilisable dans Icedove, aussi le problème (hors
utilité) est délaissé.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
la version 3.3.0~rc10-4+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openoffice.org-dictionaries.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-895.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le client de
messagerie Thunderbird de Mozilla. Plusieurs erreurs de sécurité de mémoire, des
dépassements de tampon et dâ??autres erreurs dâ??implémentation pourraient conduire
à l'exécution de code arbitraire ou une usurpation.</p>
<p>Avec la version 45.8, Debian abandonne son marquage personnalisé du paquet
Icedove et fournit de nouveau le client Thunderbird. Veuillez consulter le lien
suivant pour plus dâ??informations :
<a href="https://wiki.debian.org/Thunderbird";>https://wiki.debian.org/Thunderbird</a></p>
<p>Les paquets de transition pour les paquets Icedove sont fournis et mettent Ã
niveau automatiquement vers la nouvelle version. Puisque de nouveaux paquets
binaires doivent être installés, assurez-vous dâ??autoriser la procédure de mise
à niveau (en utilisant par exemple, « apt-get dist-upgrade » au lieu de
« apt-get upgrade »).</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:45.8.0-3~deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets icedove.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-896.data"
# $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6503";>CVE-2017-6503</a>
<p>WebUI dans qBittorrent avant 3.3.11 ne protégeait pas de nombreuses valeurs,
ce qui pourrait éventuellement aboutir à un XSS.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6504";>CVE-2017-6504</a>
<p>WebUI dans qBittorrent avant 3.3.11 ne réglait pas lâ??en-tête X-Frame-Options,
ce qui pourrait éventuellement aboutir à un détournement de clic.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.9.8-1+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qbittorrent.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-897.data"
# $Id: $
#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10324";>CVE-2016-10324</a>
<p>Dans libosip2 dans GNU oSIP 4.1.0, un message SIP mal formé peut conduire Ã
un dépassement de tampon basé sur le tas dans la fonction osip_clrncpy() définie
dans osipparser2/osip_port.c.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10325";>CVE-2016-10325</a>
<p>Dans libosip2 dans GNU oSIP 4.1.0, un message SIP mal formé peut conduire Ã
un dépassement de tampon basé sur le tas dans la fonction _osip_message_to_str()
définie dans osipparser2/osip_message_to_str.c, aboutissant à un déni de service
distant.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10326";>CVE-2016-10326</a>
<p>Dans libosip2 dans GNU oSIP 4.1.0, un message SIP mal formé peut conduire Ã
un dépassement de tampon basé sur le tas dans la fonction osip_body_to_str()
définie dans osipparser2/osip_body.c, aboutissant à un déni de service
distant.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7853";>CVE-2017-7853</a>
<p>Dans libosip2 dans GNU oSIP 5.0.0, un message SIP mal formé peut conduire Ã
un dépassement de tampon basé sur le tas dans la fonction msg_osip_body_parse()
définie dans osipparser2/osip_message_parse.c, aboutissant à un déni de service
distant.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.6.0-4+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libosip2.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-898.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tobias Stoeckmann a découvert quâ??il était possible de déclencher une
écriture de tas hors limites avec le visualisateur dâ??image feh lors de la
réception dâ??un message IPC.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.3-2+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets feh.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-899.data"
# $Id: $
Reply to: