[RFR] wml://lts/security/2017/dla-95{0-9}.wml
Bonjour,
ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Secunia Research a découvert plusieurs vulnérabilités dans libtasn1 de GnuTLS
pouvant être exploitées par des personnes malveillantes pour une compromission
dâ??un système vulnérable.</p>
<p>Deux erreurs dans la fonction « asn1_find_node() » (lib/parser_aux.c)
peuvent être exploitées pour provoquer un dépassement de tampon basé sur la pile.</p>
<p>Lâ??exploitation réussie de ces vulnérabilités permet lâ??exécution de code
arbitraire mais nécessite de duper un utilisateur pour traiter des fichiers
dâ??affectations contrefaits spécialement par, par exemple, un utilitaire
de codage asn1.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
la version 2.13-2+deb7u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libtasn1-3.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-950.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>steelo a découvert une vulnérabilité dâ??exécution de code à distance dans
Samba, un serveur de fichier SMB/CIFS, d'impression et de connexion pour Unix.
Un client malveillant avec accès à un partage inscriptible, peut exploiter ce
défaut en téléversant une bibliothèque partagée et faisant alors que le
serveur la charge et lâ??exécute.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2:3.6.6-6+deb7u13.</p>
<p>Nous vous recommandons de mettre à jour vos paquets samba.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-951.data"
# $Id: $
#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans kde4libs, les bibliothèques
centrales pour toutes les applications de KDEÂ 4.
Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6410";>CVE-2017-6410</a>
<p>Itzik Kotler, Yonatan Fridburg et Amit Klein de Safebreach Labs
ont signalé que les URL ne sont pas vérifiées avant de les passer Ã
FindProxyForURL, permettant éventuellement à un attaquant distant d'obtenir
des informations sensibles à l'aide d'un fichier PAC contrefait.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8422";>CVE-2017-8422</a>
<p>Sebastian Krahmer de SUSE a découvert que le cadriciel KAuth renfermait
un défaut logique dans lequel le service invoquant dbus n'est pas
correctement vérifié. Ce défaut permet d'usurper l'identité de l'appelant
et d'obtenir les droits du superutilisateur à partir d'un compte non
privilégié.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2074";>CVE-2013-2074</a>
<p>Il a été découvert que KIO afficherait des identifiants dâ??authentification
dans quelques cas dâ??erreur.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4:4.8.4-4+deb7u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets kde4libs.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-952.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Chris Evans a découvert que graphicsmagick utilisait de la mémoire non
initialisée dans le décodeur RLE, permettant à un attaquant distant de divulguer
des informations sensibles de lâ??espace mémoire du processus.</p>
<p>Plus dâ??informations sont disponibles dans :
<a href="https://scarybeastsecurity.blogspot.de/2017/05/bleed-continues-18-byte-file-14k-bounty.html";>https://scarybeastsecurity.blogspot.de/2017/05/bleed-continues-18-byte-file-14k-bounty.html</a></p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.3.16-1.1+deb7u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-953.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation
de la plateforme Java dâ??Oracle, aboutissant à une élévation des privilèges,
une injection de nouvelle ligne dans SMTP ou une utilisation de chiffrement non
sûr.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 7u131-2.6.9-2~deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openjdk-7.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-954.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Agostino Sarubbo de Gentoo a découvert un dépassement de tampon basé sur le
tas en écriture dans le programme rzip lors de la décompression de fichiers
contrefaits de manière malveillante.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.1-1+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets rzip.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-955.data"
# $Id: $
#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8361";>CVE-2017-8361</a>
<p>La fonction flac_buffer_copy (flac.c) dans libsndfile 1.0.28 permet à des
attaquants distants de provoquer un déni de service (dépassement de tampon et
plantage dâ??application) ou dâ??avoir un autre impact à l'aide d'un fichier audio
contrefait.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8363";>CVE-2017-8363</a>
<p>La fonction flac_buffer_copy (flac.c)dans libsndfile 1.0.28 permet à des
attaquants distants de provoquer un déni de service (lecture non valable et
plantage dâ??application) Ã l'aide d'un fichier audio contrefait.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8363";>CVE-2017-8363</a>
<p>Lae fonction flac_buffer_copy dans flac.c dans libsndfile 1.0.28 permet à des
attaquants distants de provoquer un déni de service (lecture hors limites de
tampon basé sur le tas et plantage d'application) à l'aide d'un fichier audio
contrefait.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8365";>CVE-2017-8365</a>
<p>La fonction i2les_array dans pcm.c dans libsndfile 1.0.28 permet à des
attaquants distants de provoquer un déni de service (lecture excessive de tampon
et plantage d'application) Ã l'aide d'un fichier audio contrefait.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.0.25-9.1+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libsndfile.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-956.data"
# $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3136";>CVE-2017-3136</a>
<p>Oleg Gorokhov de Yandex a découvert que BIND ne gère pas correctement
certaines requêtes quand DNS64 est utilisé avec l'option « break-dnssec
yes; », permettant à un attaquant distant de provoquer un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3137";>CVE-2017-3137</a>
<p>BIND fait des hypothèses incorrectes sur l'ordre des enregistrements dans
la section réponse d'une réponse contenant des enregistrements de ressources
CNAME ou DNAME, menant à des situations où BIND quitte avec un échec
d'assertion. Un attaquant peut tirer avantage d'une telle situation pour
provoquer un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3138";>CVE-2017-3138</a>
<p>Mike Lalumiere de Dyn, Inc. a découvert que BIND peut quitter avec un
échec d'assertion REQUIRE s'il reçoit une chaîne de commande NULL sur son
canal de contrôle. Notez que ce correctif est seulement appliqué à Debian
comme mesure de renforcement. Des détails sur le problème peuvent être
trouvés à l'adresse
<a href="https://kb.isc.org/article/AA-01471";>https://kb.isc.org/article/AA-01471</a> .</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:9.8.4.dfsg.P1-6+nmu2+deb7u16.</p>
<p>Nous vous recommandons de mettre à jour vos paquets bind9.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-957.data"
# $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9224";>CVE-2017-9224</a>
<p>Un problème a été découvert dans Oniguruma 6.2.0, tel quâ??utilisé dans
Oniguruma-mod dans Ruby jusquâ??Ã Â 2.4.1 et mbstring dans PHP jusquâ??Ã Â 7.1.5. Une
lecture hors limites de pile se produit dans match_at() lors de recherche
dâ??expression rationnelle. Une erreur de logique impliquant lâ??ordre de validation
et dâ??accès dans match_at() pourrait aboutir à une lecture hors limites dâ??un
tampon de pile.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9226";>CVE-2017-9226</a>
<p>Un problème a été découvert dans Oniguruma 6.2.0, tel quâ??utilisé dans
Oniguruma-mod dans Ruby jusquâ??Ã Â 2.4.1 et mbstring dans PHP jusquâ??Ã Â 7.1.5. Une
écriture ou lecture hors limites de tas se produit dans next_state_val() lors de
la compilation dâ??expression rationnelle. Des nombres octaux supérieurs à  0xff ne
sont pas gérés correctement dans fetch_token() et fetch_token_in_cc(). Une
expression rationnelle mal formée contenant un nombre octal de la forme « \700 »
produirait une valeur de point de code non valable supérieure à  0xff dans
next_state_val(), aboutissant à une corruption de mémoire dâ??écriture hors
limites.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9227";>CVE-2017-9227</a>
<p>Un problème a été découvert dans Oniguruma 6.2.0, tel quâ??utilisé dans
Oniguruma-mod dans Ruby jusquâ??Ã Â 2.4.1 et mbstring dans PHP jusquâ??Ã Â 7.1.5. Une
lecture hors limites de pile se produit dans mbc_enc_len() lors de recherche
dâ??expression rationnelle. Un traitement non valable de reg->dmin dans
forward_search_range() pourrait aboutir à un déréférencement de pointeur non
valable, tel quâ??une lecture hors limites dâ??un tampon de pile.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9228";>CVE-2017-9228</a>
<p>Un problème a été découvert dans Oniguruma 6.2.0, tel quâ??utilisé dans
Oniguruma-mod dans Ruby jusquâ??Ã Â 2.4.1 et mbstring dans PHP jusquâ??Ã Â 7.1.5. Une
écriture hors limites de tas se produit dans bitset_set_range() lors de
compilation dâ??expression rationnelle due à une variable non initialisées dâ??une
transition dâ??état incorrecte. Une telle transition dans parse_char_class()
pourrait créer un chemin dâ??exécution laissant une variable locale critique non
initialisée jusquâ??à son exécution comme index, aboutissant à une corruption de
mémoire dâ??écriture hors limites.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9229";>CVE-2017-9229</a>
<p>Un problème a été découvert dans Oniguruma 6.2.0, tel quâ??utilisé dans
Oniguruma-mod dans Ruby jusquâ??Ã Â 2.4.1 et mbstring dans PHP jusquâ??Ã Â 7.1.5. Un
SIGSEGV se produit dans left_adjust_char_head() lors de la compilation
dâ??expression rationnelle. Un traitement non valable de reg->dmax dans
forward_search_range() pourrait aboutir à un déréférencement de pointeur non
valable, généralement comme une condition de déni de service immédiat.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 5.9.1-1+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libonig.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-958.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert quâ??il existait une vulnérabilité dâ??utilisation de mémoire
après libération dans la bibliothèque libical dâ??iCalendar. Des attaquants
distants pourraient causer un déni de service et éventuellement lire la
mémoire de tas à l'aide d'un fichier .ICS contrefait spécialement.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 0.48-2+deb7u1 de libical.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libical.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-959.data"
# $Id: $
Reply to:
- Prev by Date:
[LCFC] wml://events/merchandise.wml
- Next by Date:
[RFR] wml://lts/security/2016/dla-65{0,1,2,3,4,5,6,7,8,9}.wml
- Previous by thread:
[DONE] wml://lts/security/2020/dla-20{58,62}.wml
- Next by thread:
Re: [RFR] wml://lts/security/2017/dla-95{0-9}.wml
- Index(es):