[RFR] wml://lts/security/2017/dla-84{0-9}.wml
Bonjour,
ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans libplist, une bibliothèque
pour lire et écrire le format de binaire et de listes de propriétés XML dâ??Apple.
Un fichier plist contrefait de manière malveillante pourrait causer un déni de
service (plantage d'application) en déclenchant un dépassement de tampon de tas
ou une erreur dâ??allocation mémoire dans la fonction plist_from_bin function.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.8-1+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libplist.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-840.data"
# $Id: $
#use wml::debian::translation-check translation="c25132d79dab5dda5298236044fc2bd05968ef47" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette publication corrige une vulnérabilité de sécurité dans le code
dâ??analyse de lâ??en-tête.</p>
<p>David Dennerline, de X-Force Researchers pour la sécurité dâ??IBM, et Régis
Leroy ont découvert des problèmes dans la manière dont Apache gère un grand
modèle de modèles dâ??espaces blancs inhabituels dans les requêtes HTTP. Dans
quelques configurations, cela pourrait conduire à des vulnérabilités de
découpage de réponse ou de pollution de cache. Pour corriger ces problèmes,
cette mise à jour rend httpd dâ??Apache plus strict dans la façon dont les
requêtes HTTP sont acceptées.</p>
<p>Si cela cause des problèmes dans des clients non conformes, quelques
vérifications peuvent être assouplies en ajoutant la nouvelle directive
<q>HttpProtocolOptions unsafe</q> Ã la configuration. Plus dâ??informations sont
disponibles sur</p>
<p><url "https://httpd.apache.org/docs/current/mod/core.html#httpprotocoloptions";></p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.2.22-13+deb7u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-841.data"
# $Id: $
#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution
complète de virtualisation solution pour des fenêtres Linux sur du matériel x86
avec des clients x86.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-2615";>CVE-2017-2615</a>
<p>Lâ??émulateur VGA de Cirrus CLGD 54xx dans qemu est vulnérable à un problème
dâ??accès hors limites. Il pourrait se produire lors de la copie de données VGA Ã
lâ??aide de bitblt copy dans le mode backward.</p>
<p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour
planter le processus de Qemu, aboutissant à un déni de service ou,
éventuellement, à une exécution de code arbitraire sur lâ??hôte avec les
privilèges du processus de Qemu sur lâ??hôte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-2620";>CVE-2017-2620</a>
<p>Lâ??émulateur VGA de Cirrus CLGD 54xx dans qemu est vulnérable à un problème
dâ??accès hors limites. Il pourrait se produire lors de la copie de données VGA
dans cirrus_bitblt_cputovideo.</p>
<p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour
planter le processus de Qemu, aboutissant à un déni de service ou,
éventuellement, à une exécution de code arbitraire sur lâ??hôte avec les
privilèges du processus de Qemu sur lâ??hôte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5898";>CVE-2017-5898</a>
<p>La prise en charge de lâ??émulateur de périphérique pour carte CCID est
vulnérable à un défaut de dépassement d'entier. Il pourrait se produire lors du
passage de message à lâ??aide de paquets commande et réponse de et à partir de
lâ??hôte.</p>
<p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour
planter le processus de Qemu sur lâ??hôte, aboutissant à un déni de service.</p>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5973";>CVE-2017-5973</a>
<p>La prise en charge de lâ??émulateur de contrôleur USB xHCI dans Qemu est
vulnérable à un problème de boucle infinie. Il pourrait se produire lors du
traitement de séquences de contrôle de descripteurs de transfert dans
xhci_kick_epctx.</p>
<p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour
planter le processus de Qemu sur lâ??hôte, aboutissant à un déni de service.</p>
</ul>
<p>Cette mise à jour met aussi à jour le correctif
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9921";>CVE-2016-9921</a>
car il était trop strict et cassait certains clients.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.1.2+dfsg-6+deb7u20.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-842.data"
# $Id: $
#use wml::debian::translation-check translation="b0c92eed441f71ac55750ecb63094fb265c115a0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3135";>CVE-2017-3135</a>
<p>Un échec dâ??assertion lors de lâ??utilisation de DNS64 et RPZ peut conduire à un
plantage.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:9.8.4.dfsg.P1-6+nmu2+deb7u15.</p>
<p>Nous vous recommandons de mettre à jour vos paquets bind9.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-843.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Marco <q>nemux</q> Romano a découvert quâ??un dépassement d'entier dans la
fonction quicktime_read_pascal dans libquicktime 1.2.4 et versions précédentes,
permet à des attaquants distants de provoquer un déni de service ou,
éventuellement, dâ??avoir un autre impact non spécifié à l'aide d'un atome de
gestionnaire MP4 contrefait.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2:1.2.4-3+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libquicktime.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-844.data"
# $Id: $
#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu, a émulateur rapide de
processeur. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les
problèmes suivants.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-2615";>CVE-2017-2615</a>
<p>Lâ??émulateur VGA de Cirrus CLGD 54xx dans qemu est vulnérable à un problème
dâ??accès hors limites. Il pourrait se produire lors de la copie de données VGA Ã
lâ??aide de bitblt copy dans le mode backward.</p>
<p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour
planter le processus de Qemu, aboutissant à un déni de service ou,
éventuellement, à une exécution de code arbitraire sur lâ??hôte avec les
privilèges du processus de Qemu sur lâ??hôte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-2620";>CVE-2017-2620</a>
<p>Lâ??émulateur VGA de Cirrus CLGD 54xx dans qemu est vulnérable à un problème
dâ??accès hors limites. Il pourrait se produire lors de la copie de données VGA
dans cirrus_bitblt_cputovideo.</p>
<p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour
planter le processus de Qemu, aboutissant à un déni de service ou,
éventuellement, à une exécution de code arbitraire sur lâ??hôte avec les
privilèges du processus de Qemu sur lâ??hôte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5898";>CVE-2017-5898</a>
<p>La prise en charge de lâ??émulateur de périphérique pour carte CCID est
vulnérable à un défaut de dépassement d'entier. Il pourrait se produire lors du
passage de message à lâ??aide de paquets commande et réponse de et à partir de
lâ??hôte.</p>
<p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour
planter le processus de Qemu sur lâ??hôte, aboutissant à un déni de service.</p>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5973";>CVE-2017-5973</a>
<p>La prise en charge de lâ??émulateur de contrôleur USB xHCI dans Qemu est
vulnérable à un problème de boucle infinie. Il pourrait se produire lors du
traitement de séquences de contrôle de descripteurs de transfert dans
xhci_kick_epctx.</p>
<p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut pour
planter le processus de Qemu sur lâ??hôte, aboutissant à un déni de service.</p>
</ul>
<p>Cette mise à jour met aussi à jour le correctif
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9921";>CVE-2016-9921</a>
car il était trop strict et cassait certains clients.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.1.2+dfsg-6+deb7u20.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-845.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que libzip-ruby, un module de Ruby pour lire et écrire des
fichiers zip, est prédisposé à une vulnérabilité de traversée de répertoires. Un
attaquant peut exploiter ce défaut pour écraser des fichiers arbitraires lors de
lâ??extraction dâ??archive à l'aide d'un .. (point point) dans nom de fichier
extrait.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.9.4-1+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libzip-ruby.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-846.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le système TeX permet lâ??appel de programmes externes à partir du code source
de TeX. Cela a été restreint à un petit nombre de programmes depuis longtemps.</p>
<p>Malheureusement, il sâ??est avéré quâ??un programme dans la liste, mpost, permet
à son tour dâ??indiquer dâ??autres programmes à exécuter. Cela permet lâ??exécution de
code arbitraire lors de la compilation dâ??un document TeX.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2012.20120611-5+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets texlive-base.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-847.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert quâ??il existait une vulnérabilité de déni de service dans
freetype, une bibliothèque de rendu de fontes.</p>
<p>La fonction parse_charstrings ne garantissait pas quâ??une fonte contient un
nom de glyphe, ce qui permet à des attaquants distants de provoquer un déni de
service à l'aide d'un fichier contrefait pour l'occasion.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2.4.9-1.1+deb7u4 de freetype.</p>
<p>Nous vous recommandons de mettre à jour vos paquets freetype.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-848.data"
# $Id: $
#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une augmentation de droits, un déni de service ou
avoir d'autres impacts.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9588";>CVE-2016-9588</a>
<p>Jim Mattson a découvert que l'implémentation de KVM pour les processeurs
Intel x86 ne gère pas correctement les exceptions #BP et #OF dans une
machine virtuelle L2 (imbriquée). Un attaquant local dans une VM cliente L2
peut tirer avantage de ce défaut pour provoquer un déni de service sur la
VM cliente L1.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-2636";>CVE-2017-2636</a>
<p>Alexander Popov a découvert un défaut de situation de compétition dans
la « line discipline » n_hdlc qui peut conduire à une double libération de
zone de mémoire. Un utilisateur local sans droit peut tirer avantage de ce
défaut pour une augmentation de droits. Pour les systèmes qui n'ont pas
déjà le module n_hdlc chargé, cela peut être atténué en le désactivant :
<code>echo >> /etc/modprobe.d/disable-n_hdlc.conf install n_hdlc false</code></p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5669";>CVE-2017-5669</a>
<p>Gareth Evans a signalé que les utilisateurs privilégiés peuvent mapper
la mémoire à l'adresse 0 à travers l'appel système shmat(). Cela pourrait
rendre plus facile l'exploitation d'autres vulnérabilités de sécurité du
noyau à l'aide d'un programme « set-UID ».</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5986";>CVE-2017-5986</a>
<p>Alexander Popov a signalé une situation de compétition dans
l'implémentation de SCTP qui peut être utilisée par des utilisateurs locaux
pour provoquer un déni de service (plantage). La correction initiale de ce
problème était incorrecte et introduisait d'autres problèmes de sécurité
(<a href="https://security-tracker.debian.org/tracker/CVE-2017-6353";>
CVE-2017-6353</a>). Cette mise à jour comprend une nouvelle correction qui
les évite. Pour les systèmes qui n'ont pas déjà le module sctp chargé, cela
peut être atténué en le désactivant :
<code>echo >> /etc/modprobe.d/disable-sctp.conf install sctp false</code></p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6214";>CVE-2017-6214</a>
<p>Dmitry Vyukov a signalé un bogue dans le traitement par l'implémentation
de TCP des données urgentes dans l'appel système splice(). Cela peut être
utilisé par un attaquant distant pour provoquer un déni de service
(blocage) Ã l'encontre des applications qui lisent les sockets TCP avec
splice().</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6345";>CVE-2017-6345</a>
<p>Andrey Konovalov a signalé que l'implémentation de LLC type 2 assigne
incorrectement la propriété de la mémoire tampon des sockets. Cela peut
être utilisé par un utilisateur local pour provoquer un déni de service
(plantage). Pour les systèmes qui n'ont pas déjà le module llc2 chargé,cela
peut être atténué en le désactivant :
<code>echo >> /etc/modprobe.d/disable-llc2.conf install llc2 false</code></p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6346";>CVE-2017-6346</a>
<p>Dmitry Vyukov a signalé une situation de compétition dans la fonction
fanout de paquet brut (af_packet). Des utilisateurs locaux dotés de la
capacité CAP_NET_RAW (dans n'importe quel espace de nom) peuvent utiliser
cela pour un déni de service et éventuellement une augmentation de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6348";>CVE-2017-6348</a>
<p>Dmitry Vyukov a signalé que l'implémentation de la file d'attente
principale dans le sous-système IrDA ne gère pas correctement des verrous
multiples, permettant éventuellement à des utilisateurs locaux de provoquer
un déni de service (blocage) grâce à des opérations contrefaites sur des
périphériques IrDA.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.2.86-1.</p>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 3.16.39-1+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-849.data"
# $Id: $
Reply to:
- Prev by Date:
[RFR2] wml://lts/security/2017/dla-85{0-9}.wml
- Next by Date:
[RFR2] wml://lts/security/2016/dla-71{0,1,2,3,4,5,6,7,8,9}.wml
- Previous by thread:
Re: [RFR] wml://lts/security/2016/dla-72{0,1,2,3,4,5,6,7,8,9}.wml
- Next by thread:
Re: [RFR] wml://lts/security/2017/dla-84{0-9}.wml
- Index(es):