[RFR] wml://lts/security/2017/dla-98{0-9}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Ming, une bibliothèque pour analyser et créer des fichiers SWF (Flash), est
exposé à un dépassement d'entier pouvant conduire à une écriture en mémoire
hors limites à l'aide d'un fichier élaboré dans un but malveillant.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:0.4.4-1.1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ming.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-980.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Apng2gif était vulnérable à un dépassement d'entier aboutissant à une lecture
ou écriture hors limites de tampon basé sur le tas. Un attaquant distant
pourrait utiliser ce défaut pour provoquer un déni de service (plantage
d'application) Ã  l'aide d'un fichier APNG contrefait.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.5-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets apng2gif.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-981.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que Tor, un système de communication anonyme de faible
latence basé sur des connexions, renferme un défaut dans le code du service
dissimulé. Un attaquant distant peut exploiter ce défaut pour planter le
service dissimulé en utilisant un échec dâ??assertion (TROVE-2017-005).</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
la version 0.2.4.29-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tor.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-982.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tiff3 était affecté par plusieurs fuites de mémoire
(<a href="https://security-tracker.debian.org/tracker/CVE-2017-9403";>CVE-2017-9403</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2017-9404";>CVE-2017-9404</a>)
qui pourraient aboutir à un déni de service. En outre, alors que la version
actuelle dans Debian est déjà corrigée pour les problèmes de _TIFFVGetField
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-10095";>CVE-2016-10095</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2017-9147";>CVE-2017-9147</a>),
nous avons remplacé nos correctifs spécifiques par ceux fournis par lâ??amont pour
le suivre au plus près.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.9.6-11+deb7u6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tiff3.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-983.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tiff était affecté par plusieurs fuites de mémoire
(<a href="https://security-tracker.debian.org/tracker/CVE-2017-9403";>CVE-2017-9403</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2017-9404";>CVE-2017-9404</a>)
qui pourraient aboutir à un déni de service. En outre, alors que la version
actuelle dans Debian est déjà corrigée pour les problèmes de _TIFFVGetField
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-10095";>CVE-2016-10095</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2017-9147";>CVE-2017-9147</a>),
nous avons remplacé nos correctifs spécifiques par ceux fournis par lâ??amont pour
le suivre au plus près.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.0.2-6+deb7u14.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tiff.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-984.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité dans libsndfile, une bibliothèque pour lire et
écrire des fichiers audio. Un AIFF contrefait pour l'occasion (« Audio
Interchange File Format ») pourrait aboutir à une lecture de mémoire hors
limites.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.0.25-9.1+deb7u3 de libsndfile.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libsndfile.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-985.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Zookeeper, un service pour lâ??entretien des informations de configuration, ne
restreignait pas lâ??accès aux commandes wchp/wchc gourmandes en calculs. Cela
pourrait aboutir à  un déni de service à  lâ??aide dâ??une consommation élevée de CPU.</p>

<p>Cette mise à jour désactive par défaut ces deux commandes. La nouvelle option
de configuration <q>4lw.commands.whitelist</q> peut être utilisée pour mettre en
liste blanche de manière sélective des commandes (et lâ??ensemble complet des
commandes peut être restauré avec « * »)</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.4.5+dfsg-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets zookeeper.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-986.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un
système paramétrable de suivi de problèmes. Le projet « Common Vulnerabilities
and Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6127";>CVE-2016-6127</a>

<p>Request Tracker est vulnérable à une attaque par script intersite (XSS)
si un attaquant charge un fichier malveillant avec un certain type de
contenu. Les installations qui utilisent le paramètre de configuration
AlwaysDownloadAttachments ne sont pas affectées par ce défaut. Le correctif
appliqué traite toutes les pièces attachées existantes et à venir.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5361";>CVE-2017-5361</a>

<p>Request Tracker est vulnérable à des attaques temporelles par canal
auxiliaire pour les mots de passe utilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5943";>CVE-2017-5943</a>

<p>Request Tracker est prédisposé à une fuite d'informations de jetons de
vérification de contrefaçon de requête intersite (CSRF), si un utilisateur
est piégé par un attaquant en visitant une URL contrefaite pour l'occasion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5944";>CVE-2017-5944</a>

<p>Request Tracker est prédisposé à une vulnérabilité d'exécution de code à 
distance dans l'interface de souscription du tableau de bord. Un attaquant
privilégié peut tirer avantage de ce défaut grâce à des noms de recherches
sauvegardées soigneusement contrefaites pour provoquer l'exécution de code
inattendu. Le correctif appliqué traite toutes les recherches sauvegardées
existantes et à venir.</p>

</ul>

<p>En plus de CVE mentionnées ci-dessus, cette mise à jour contourne le
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7686";>CVE-2015-7686</a>
dans Email::Address qui pourrait induire un déni de service de Request
Tracker lui-même.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.0.7-5+deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets request-tracker4.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-987.data"
# $Id: $

#use wml::debian::translation-check translation="2d8aa8ce4c88e03582c09befc9ad03c6b190bfbf" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>RT::Authen::ExternalAuth, un module dâ??authentification externe pour Request
Tracker, est vulnérable à une attaque temporelle par canal auxiliaire pour les
mots de passe dâ??utilisateurs. Seul ExternalAuth dans le mode DBI (base de
données) est vulnérable.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.10-4+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets rt-authen-externalauth.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-988.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Alvaro Munoz et Christian Schneider ont découvert que Jython, une
implémentation du langage Python intégrée harmonieusement avec Java,
exécutait du code arbitraire lors de la désérialisation dâ??objets.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.5.2-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jython.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-989.data"
# $Id: $