[RFR] wml://lts/security/2017/dla-86{0-9}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans wordpress, un outil de blog
web.

Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6814";>CVE-2017-6814</a>

<p>Vulnérabilité de script intersite (XSS) à  lâ??aide de métadonnées de fichier
média.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6815";>CVE-2017-6815</a>

<p>Caractères de contrôle pouvant leurrer la validation de redirection dâ??URL
dans wp-includes/pluggable.php.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6816";>CVE-2017-6816</a>

<p>Fichiers imprévus pouvant être supprimés par des administrateurs en utilisant
la fonctionnalité de suppression de greffon.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.6.1+dfsg-1~deb7u14.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-860.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité exploitable de dépassement de tampon existe dans la
fonction LoadEncoding du langage de programmation R. Un script R contrefait pour
l'occasion peut provoquer un dépassement de tampon aboutissant à une corruption
de mémoire. Un attaquant peut envoyer un script R malveillant pour déclencher
cette vulnérabilité.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
la version 2.15.1-4+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets r-base.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-861.data"
# $Id: $

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8743";>CVE-2016-8743</a>
dans apache2 version 2.2.22-13+deb7u8 (DLA-841-1) provoquait le bogue n° 852623
dans sitesummary, cassant le fonction sitesummary-upload. Pour corriger cela,
sitesummary-upload doit être modifiée pour envoyer des fins de ligne CRLF (\r\n)
pour être conforme avec les correctifs de sécurité dâ??Apache pour les requêtes
HTTP.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.1.8+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets sitesummary.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-862.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert quâ??il existait une vulnérabilité de contrefaçon de requête
intersite dans le composant WebUI du client <q>deluge</q> pour Bittorrent.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.3.3-2+nmu1+deb7u1 de deluge.</p>

<p>Nous vous recommandons de mettre à jour vos paquets deluge.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-863.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert quâ??il existait une vulnérabilité dans jhead, un outil pour
manipuler la partie non image de fichiers JPEG conformes à la norme EXIF. Des
attaquants distants étaient capables dâ??exécuter du code arbitraire à  lâ??aide de
données dâ??image contrefaites.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1:2.95-1+deb7u1 de jhead.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jhead.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-864.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert quâ??il existait une vulnérabilité dans suricata, un outil
de détection dâ??intrusion. Le protocole IP nâ??était pas utilisé pour faire
correspondre des fragments avec leurs paquets, permettant quâ??un paquet construit
soigneusement (avec un protocole différent) corresponde, par conséquent créant
un paquet non réassemblé dans lâ??hôte de destination.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.2.1-2+deb7u1 de suricata.</p>

<p>Nous vous recommandons de mettre à jour vos paquets suricata.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-865.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Libxslt est vulnérable à un dépassement d'entier dans la fonction
xsltAddTextString, qui peut être exploité pour déclencher une écriture hors
limites sur les systèmes 64 bits.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
la version 1.1.26-14.1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxslt.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-866.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans audiofile.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6829";>CVE-2017-6829</a>

<p>Possibilité pour des attaquants distants de provoquer un déni de service
(plantage) Ã  l'aide d'un fichier contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6830";>CVE-2017-6830</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-6834";>CVE-2017-6834</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-6831";>CVE-2017-6831</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-6832";>CVE-2017-6832</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-6838";>CVE-2017-6838</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-6839";>CVE-2017-6839</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-6836";>CVE-2017-6836</a>

<p>Dépassement de tampon de tas permettant à des attaquants distants de
provoquer un déni de service (plantage) à l'aide d'un fichier contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6833";>CVE-2017-6833</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-6835";>CVE-2017-6835</a>

<p>La fonction runPull permet à des attaquants distants de provoquer un déni de
service (erreur de division par zéro et plantage) à l'aide d'un fichier
contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6837";>CVE-2017-6837</a>

<p>Possibilité pour des attaquants distants de provoquer un déni de service
(plantage) à  lâ??aide de vecteurs relatifs à  un grand nombre de coefficients.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.3.4-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets audiofile.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-867.data"
# $Id: $

#use wml::debian::translation-check translation="2d8aa8ce4c88e03582c09befc9ad03c6b190bfbf" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs problèmes ont été découverts dans ImageMagick, un ensemble
populaire de programmes et de bibliothèques pour la manipulation dâ??image. Ces
problèmes incluent un déni de service et une lecture excessive de tampon
mémoire.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 8:6.7.7.10-5+deb7u12.</p>

<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-868.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Lâ??équipe de sécurité de cPanel a découvert plusieurs vulnérabilités de
sécurité dans cgiemail, un programme CGI utilisé pour créer des formulaires HTML
pour lâ??envoi de courriels.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5613";>CVE-2017-5613</a>

<p>Une vulnérabilité dâ??injection de chaîne de formatage permettait de fournir
des chaînes de formatage arbitraires à cgiemail et cgiecho. Un attaquant local
ayant la permission de fournir un modèle cgiemail pourrait utiliser cette
vulnérabilité pour exécuter du code en tant quâ??utilisateur du serveur web. Les
chaînes de formatage dans les patrons cgiemail sont maintenant limitées à des
séquences simples, %s, %U et %H.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5614";>CVE-2017-5614</a>

<p>Une vulnérabilité de redirection ouverte dans les binaires cgiemail et
cgiecho pourrait être exploitée par un attaquant local pour forcer la
redirection vers une URL arbitraire. Ces redirections sont maintenant limitées
au domaine gérant la requête.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5615";>CVE-2017-5615</a>

<p>Une vulnérabilité dans les binaires cgiemail et cgiecho permettait une
injection dâ??en-têtes HTTP supplémentaires. Les caractères de nouvelle ligne sont
maintenant retirés de lâ??emplacement de redirection pour une protection contre
cela.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5616";>CVE-2017-5616</a>

<p>Une protection manquante du paramètre addendum conduit à une vulnérabilité de
script intersite réfléchi (XSS) dans les binaires cgiemail et cgiecho. La sortie
est protégée contre lâ??HTML.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.6-37+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets cgiemail.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-869.data"
# $Id: $