[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2017/dla-96{0-9}.wml

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Cette mise à jour corrige plusieurs vulnérabilités dans imagemagick :
divers problèmes de gestion de la mémoire et de cas de nettoyage des entrées
manquants ou incomplets, pourraient aboutir à un déni de service, une
divulgation de la mémoire ou lâ??exécution de code arbitraire si des fichiers DCM,
PCX, JPEG, PSD, HDR, MIFF, PDB, VICAR, SGI, SVG, AAI, MNG, EXR, MAT, SFW, JNG,
PCD, XWD, PICT, BMP, MTV, SUN, EPT, ICON, DDS, ou ART sont traités.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 6.7.7.10-5+deb7u14.</p>

<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-960.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7650";>CVE-2017-7650</a>

<p>Des filtres basés sur les ACL peuvent être contournés par des clients réglant
leur identifiant nom_utilisateur/client à « # » ou « + ». Cela permet à des
clients connectés localement ou à distance dâ??accéder à des sujets MQTT dont ils
doivent avoir les droits. Le même problème peut être présent dans les greffons
de contrôle dâ??authentification dâ??accès de tierce partie pour Mosquitto.</p>

<p>La vulnérabilité se produit uniquement quand les filtres basés sur les ACL
sont utilisés ou, éventuellement, lorsque les greffons de tierce partie sont
utilisés.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.15-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mosquitto.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-961.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8911";>CVE-2017-8911</a>

<p>Un dépassement d'entier par le bas a été identifié dans la fonction
unicode_to_utf8() dans tnef 1.4.14. Cela pouvait conduire à des opérations
dâ??écriture non valables, contrôlées par lâ??attaquant.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.4.9-1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tnef.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-962.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que la bibliothèque exiv2 échoue à analyser quelques images
tiff, conduisant à un déni de service par plantage de lâ??application.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.23-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets exiv2.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-963.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans lâ??hyperviseur Xen. Le
projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes
suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9932";>CVE-2016-9932</a> (XSA-200)

<p>Lâ??émulation de CMPXCHG8B permet à des utilisateurs de système dâ??exploitation
cliente dâ??HVM  dâ??obtenir des informations sensibles de la mémoire de pile de
lâ??hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7995";>CVE-2017-7995</a>

<p>Description :
Xen vérifie les permissions dâ??accès à des gammes MMIO seulement après lâ??accès,
permettant des lectures dâ??espace mémoire de périphériques PCI dâ??hôte .</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8903";>CVE-2017-8903</a> (XSA-213)

<p>Xen gère incorrectement les tables des pages après un appel dâ??hyperviseur IRET
qui peut conduire à lâ??exécution de code arbitraire sur le système dâ??exploitation
client. La vulnérabilité est seulement exposée aux clients de paravirtualisation
de 64 bits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8904";>CVE-2017-8904</a> (XSA-214)

<p>Xen gère incorrectement la propriété <q>contains segment descriptors</q> lors
de GNTTABOP_transfer. Cela pouvait permettre aux utilisateurs de
paravirtualisation de système dâ??exploitation invité dâ??exécuter du code arbitraire
sur le système dâ??exploitation hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8905";>CVE-2017-8905</a> (XSA-215)

<p>Xen gère incorrectement de la fonction de rappel à sécurité intégrée. Cela
pourrait permettre aux utilisateurs de paravirtualisation de système
dâ??exploitation invité dâ??exécuter du code arbitraire sur le système dâ??exploitation
hôte.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.1.6.lts1-8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xen.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-964.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution de
virtualisation complète pour les hôtes Linux sur du matériel x86 avec des clients
x86, basée sur Quick Emulator (Qemu).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9602";>CVE-2016-9602</a>

<p>Quick Emulator (Qemu) construit avec VirtFS, le partage de répertoires dâ??hôte
à lâ??aide de la prise en charge du système de fichiers Plan 9 (9pfs), est vulnérable à
un problème de suivi de lien incorrect. Il pourrait se produire lors de lâ??accès
à des fichiers de lien symbolique sur un répertoire hôte partagé.</p>

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour
accéder au système de fichiers hôte au-delà du répertoire partagé et
éventuellement augmenter ses privilèges sur lâ??hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7377";>CVE-2017-7377</a>

<p>Quick Emulator (Qemu) construit avec la prise en charge du dorsal virtio-9p
est vulnérable à un problème de fuite de mémoire. Il pourrait se produire
lors dâ??une opération dâ??E/S à lâ??aide dâ??une routine v9fs_create/v9fs_lcreate.</p>

<p>Un utilisateur ou processus privilégié dans un client pourrait utiliser ce
défaut pour divulguer la mémoire de lâ??hôte aboutissant à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7471";>CVE-2017-7471</a>

<p>Quick Emulator (Qemu) construit avec VirtFS, le partage de répertoires dâ??hôte
à lâ??aide de la prise en charge du système de fichiers Plan 9 (9pfs), est vulnérable à
un problème de contrôle dâ??accès incorrect. Il pourrait se produire lors de
lâ??accès à des fichiers du répertoire partagé de lâ??hôte.</p>

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour
accéder au-delà du répertoire partagé et éventuellement augmenter ses privilèges
sur lâ??hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7493";>CVE-2017-7493</a>

<p>Quick Emulator (Qemu) construit avec VirtFS, le partage de répertoires dâ??hôte
à lâ??aide de la prise en charge du système de fichiers Plan 9 (9pfs), est vulnérable à un
problème de contrôle dâ??accès incorrect. Il pourrait se produire lors dâ??accès
de fichiers de métadonnées virtfs avec le mode de sécurité mapped-file.</p>

<p>Un utilisateur de client pourrait utiliser cela défaut pour augmenter ses
droits dans le client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8086";>CVE-2017-8086</a>

<p>Quick Emulator (Qemu) construit avec la prise en charge du dorsal virtio-9p
est vulnérable à une fuite de mémoire. Elle pourrait se produire lors de la
requête dâ??attributs étendus de système de fichiers à lâ??aide dâ??une routine
9pfs_list_xattr().</p>

<p>Un utilisateur ou processus privilégié dans un client pourrait utiliser ce
défaut pour divulguer la mémoire de lâ??hôte aboutissant à un déni de service.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.1.2+dfsg-6+deb7u22.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-965.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que pngquant est susceptible à un problème de dépassement
de tampon en écriture déclenchée par une image png contrefaites de manière
malveillante. Cela pourrait conduire à un déni de service ou dâ??autres problèmes.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.0-4.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets pngquant.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-966.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Gajim met en Å?uvre XEP-0146, une extension pour exécuter des commandes à
distance à partir dâ??un autre client. Cependant, il a été découvert quâ??un serveur
malveillant pourrait déclencher des commandes pouvant conduire à divulguer des
conversations privées de sessions chiffrées. Pour résoudre cela, cette prise en
charge de XEP-0146 a été désactivée par défaut.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.15.1-4.1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets gajim.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-967.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs dépassements de tampon basé sur le tas et déréférencements de
 pointeur NULL ont été découverts dans libpodofo, une bibliothèque pour
manipuler des fichiers PDF. Ils permettaient à des attaquants distants de
provoquer un déni de service (plantage d'application) ou dâ??avoir un autre impact
non précisé à l'aide d'un document PDF contrefait.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.9.0-1.1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libpodofo.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-968.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans libtiff, une bibliothèque de
prise en charge pour TIFF (Tag Image FILE Format). Elles pouvaient aboutir à un
déni de service (lecture hors limites ou échec dâ??assertion) à l'aide d'un
fichier TIFF contrefait.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.0.2-6+deb7u13.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tiff.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-969.data"
# $Id: $
Reply to: