[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2017/dla-97{0-9}.wml

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>L'équipe Qualys Security a découvert que sudo, un programme conçu pour
donner des droits limités de superutilisateur à des utilisateurs
particuliers, n'analysait pas correctement « /proc/[pid]/stat » pour lire
le numéro de périphérique du tty à partir du champ 7 (tty_nr). Un
utilisateur de sudoers peut tirer avantage de ce défaut sur un système avec
SELinux activé pour obtenir les droits complets du superutilisateur.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
la version 1.8.5p2-1+nmu3+deb7u3.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.8.10p3-1+deb8u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets sudo.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-970.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7502";>CVE-2017-7502</a>

<p>Une vulnérabilité de déréférencement de pointeur NULL dans NSS a été
découverte quand le serveur reçoit des messages SSLv2 vides. Ce problème a été
introduit avec la suppression récente du protocole SSLv2 du code de lâ??amont dans
la version 3.24.0 et lâ??introduction dâ??un analyseur dédié capable de gérer
seulement les messages hello de type SSLv2.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
la version 2:3.26-1+debu7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nss.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-971.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de double libération de zone de mémoire dans
<q>openldap</q>, un serveur LDAP.</p>

<p>Un utilisateur, ayant accès pour sonder le répertoire, pourrait planter
slapd en fournissant une recherche demandant une valeur <q>Paged Results</q>
définie à zéro.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2.4.31-2+deb7u3 de openldap.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openldap.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-972.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités de déni de service ont été identifiées dans
strongSwan, une suite IKE/IPsec utilisant le projet de test à données
aléatoires OSS-Fuzz de Google.</p>
<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9022";>CVE-2017-9022</a>

<p>Les clés publiques RSA passées au greffon gmp ne sont pas suffisamment
validées avant la tentative de vérification de signature, aussi une entrée
non valable pourrait mener à une exception de virgule flottante et au
plantage du processus. Un certificat avec un clé publique préparée de façon
appropriée envoyé par un pair pourrait être utilisé pour une attaque par
déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9023";>CVE-2017-9023</a>

<p>Les types ASN.1 CHOICE ne sont pas correctement gérés par l'analyseur
ASN.1 lors de l'analyse de certificats X.509 avec des extensions qui
utilisent ces types. Cela pourrait conduire à une boucle infinie du
processus lors de l'analyse d'un certificat spécialement contrefait.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.5.2-1.5+deb7u9.</p>

<p>Nous vous recommandons de mettre à jour vos paquets strongswan.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-973.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité dâ??injection de commande dans picocom, un
programme dâ??émulation de terminal passif.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.7-1+deb7u1 de picocom.</p>

<p>Nous vous recommandons de mettre à jour vos paquets picocom.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-974.data"
# $Id: $

#use wml::debian::translation-check translation="cb6bc3d73ebe6c8ee975e84a5de151bbec375689" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans wordpress, un outil de blog
web. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8295";>CVE-2017-8295</a>

<p>Vulnérabilité potentielle de réinitialisation non autorisée de mot de passe.
Plus dâ??information est disponible sur :</p>

<p><url "https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html";></p>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9061";>CVE-2017-9061</a>

<p>Une vulnérabilité de script intersite (XSS) existe quand quelquâ??un essaie de
téléverser de très grands fichiers.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9062";>CVE-2017-9062</a>

<p>Traitement incorrect de valeurs de métadonnées post dans lâ??API XML-RPC.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9063";>CVE-2017-9063</a>

<p>Vulnérabilité de script intersite (XSS) dans le traitement de la personnalisation.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9064";>CVE-2017-9064</a>

<p>Une vulnérabilité de contrefaçon de requête intersite (CSRF) existe dans le
dialogue dâ??accréditations du système de fichiers.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9065";>CVE-2017-9065</a>

<p>Absence de vérifications de capacité des métadonnées post dans lâ??API XML-RPC.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.6.1+dfsg-1~deb7u15.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-975.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Hanno Bock a découvert quâ??il existait une vulnérabilité de lecture excessive
de tampon dans le programme de traitement de document yodl (Your Own Document
Language).</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 3.00.0-6+deb7u1 de yodl.</p>

<p>Nous vous recommandons de mettre à jour vos paquets yodl.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-976.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans FreeRADIUS, un serveur RADIUS de
haute performance et grandement configurable.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2015";>CVE-2014-2015</a>

<p>Une dépassement de pile a été découvert dans la fonction normify dans le
module rlm_pap qui peut être attaqué par des utilisateurs pour provoquer un
déni de service ou dâ??autres problèmes.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4680";>CVE-2015-4680</a>

<p>Freeradius échouait à la vérification de révocation de certificats CA
intermédiaires, par conséquent acceptant des certificats de client issus de
certificats révoqués de CA intermédiaires.</p>

<p>Remarquez que pour activer la vérification de certificats intermédiaires, il
est nécessaire dâ??activer lâ??option check_all_crl de la section TLS EAP dans
dans eap.conf. Cela est seulement nécessaire pour les serveurs utilisant les
certificats signés par des CA intermédiaires. Les serveurs utilisant des CA
auto-signés ne sont pas touchés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9148";>CVE-2017-9148</a>

<p>Le cache de session TLS échoue à prévenir de manière fiable la reprise de
session non authentifiée. Cela permet à des attaquants distants (tels que des
solliciteurs 802.1X malveillants) de contourner lâ??authentification  à l'aide
de PEAP ou TTLS.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.1.12+dfsg-1.2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets freeradius.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-977.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Lâ??équipe de sécurité de cPanel a signalé un défaut de situation de
compétition TOCTTOU (time of check to time of use) dans File::Path, un module
central de Perl pour créer ou supprimer des arborescences de dossiers. Un
attaquant peut exploiter ce défaut pour régler le mode dâ??un fichier choisi par
lâ??attaquant à une valeur choisie par cet attaquant.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 5.14.2-21+deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets perl.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-978.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Outre le fait de mettre à jour le paquet en ce qui concerne les traductions,
cette mise à jour marque plusieurs paquets comme nâ??étant plus pris en charge
par wheezy-lts :</p>

<p>autotrace, inspircd, ioquake3, kfreebsd-8, kfreebsd-9, matrixssl,
teeworlds et trn.</p>

<p>Pour lâ??explication, veuillez consulter les liens fournis dans</p>

<p>/usr/share/debian-security-support/security-support-ended.deb8</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2017.06.02+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets debian-security-support.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-979.data"
# $Id: $
Reply to: