[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2017/dla-81{0-9}.wml

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert quâ??il existait un dépassement de tampon de tas dans
libarchive, une bibliothèque dâ??archive multi-format et de compression.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 3.0.4-3+wheezy5+deb7u1 de libarchive.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libarchive.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-810.data"
# $Id: $

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les vulnérabilités suivantes ont été corrigées dans libplist :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5209";>CVE-2017-5209</a>

<p>Lecture hors limites lors de lâ??analyse de fichier plist dâ??Apple, contrefait
pour l'occasion</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5545";>CVE-2017-5545</a>

<p>Dépassement de tampon de tas à l'aide d'un fichier plist contrefait</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.8-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libplist.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-811.data"
# $Id: $

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans ikiwiki, un compilateur de
wiki :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9646";>CVE-2016-9646</a>

<p>Contrefaçon de métadonnées de commit</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10026";>CVE-2016-10026</a>

<p>Contournement dâ??autorisation lors dâ??annulation de modifications</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-0356";>CVE-2017-0356</a>

<p>Contournement dâ??authentification à lâ??aide de paramètres répétés</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.20120629.2+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ikiwiki.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-812.data"
# $Id: $

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans wordpress, un outil de blog
web.

Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5488";>CVE-2017-5488</a>

<p>Plusieurs vulnérabilités de script intersite (XSS) dans
wp-admin/update-core.php dans WordPress avant 4.7.1 permettent à des attaquants
distants dâ??injecter un script web arbitraire ou du HTML à lâ??aide du nom ou de
lâ??en-tête de version dâ??un greffon.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5489";>CVE-2017-5489</a>

<p>Un vulnérabilité de contrefaçon de requête intersite (CSRF) dans WordPress
avant 4.7.1, permet à des attaquants distants de détourner lâ??authentification
de victimes non précisées à lâ??aide de vecteurs impliquant un téléversement de
fichier Flash.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5490";>CVE-2017-5490</a>

<p>Une vulnérabilité de script intersite (XSS) dans la fonctionnalité de repli
pour le nom de thème dans wp-includes/class-wp-theme.php dans WordPress
avant 4.7.1 permet à des attaquants distants dâ??injecter un script web arbitraire
ou du HTML à l'aide d'un nom contrefait de répertoire de thème, relatifs à
wp-admin/includes/class-theme-installer-skin.php.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5491";>CVE-2017-5491</a>

<p>wp-mail.php dans WordPress avant 4.7.1 peut permettre à des attaquants
distants de contourner des restrictions voulues de publication à aide d'un
serveur de courriels usurpé avec le nom mail.example.com.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5492";>CVE-2017-5492</a>

<p>Une vulnérabilité de contrefaçon de requête intersite (CSRF) dans la
fonctionnalité de mode accessibilité dâ??édition de composant graphique dans
WordPress avant 4.7.1, permet à des attaquants distants de détourner
lâ??authentification de victimes non précisées pour des requêtes réalisant une
action dâ??accès à un composant graphique, relatives à
wp-admin/includes/class-wp-screen.php et wp-admin/widgets.php.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5493";>CVE-2017-5493</a>

<p>wp-includes/ms-functions.php dans lâ??API Multisite WordPress dans WordPress
avant 4.7.1 ne choisissait pas correctement les nombres aléatoires pour les clés,
ce qui facilitait pour des attaquants distants le contournement des restrictions
dâ??accès prévues, à l'aide d'un signup de site contrefait ou dâ??utilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5610";>CVE-2017-5610</a>

<p>wp-admin/includes/class-wp-press-this.php dans Press This dans WordPress
avant 4.7.2 ne restreignait pas correctement la visibilité dâ??une interface
dâ??utilisateur taxonomy-assignment. Cela permet à des attaquants distants de
contourner les restrictions dâ??accès prévues par les termes de lecture.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5611";>CVE-2017-5611</a>

<p>Une vulnérabilité dâ??injection SQL dans wp-includes/class-wp-query.php dans
WP_Query dans WordPress avant 4.7.2, permet à des attaquants distants dâ??exécuter
des commandes SQL arbitraires en exploitant par la présence dâ??un greffon affecté
ou dâ??un thème gérant incorrectement un nom de type de publication contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5612";>CVE-2017-5612</a>

<p>Une vulnérabilité de script intersite (XSS) dans
wp-admin/includes/class-wp-posts-list-table.php dans la table de liste des
publications dans WordPress avant 4.7.2, permet à des attaquants distants
dâ??injecter un script web arbitraire ou du HTML à l'aide d'un extrait contrefait.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.6.1+dfsg-1~deb7u13.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-813.data"
# $Id: $

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7056";>CVE-2016-7056</a>

<p>Une attaque temporelle locale a été découverte à lâ??encontre de ECDSA P-256.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8610";>CVE-2016-8610</a>

<p>Il a été découvert quâ??aucune limite nâ??était imposée pour des paquets dâ??alerte
lors de lâ??initiation de connexion SSL.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3731";>CVE-2017-3731</a>

<p>Robert Swiecki a découvert que le chiffrement  RC4-MD5 lors dâ??une exécution
sur un système 32 bits, pourrait être forcé à une lecture hors limites,
aboutissant à un déni de service.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.0.1t-1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-814.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Jann Horn de Project Zero de Google a découvert que NTFS-3G, un pilote NTFS
dâ??écriture et de lecture pour FUSE, ne nettoie pas lâ??environment avant
lâ??exécution de modprobe avec des privilèges élevés. Un utilisateur local peut
exploiter ce défaut pour une élévation des privilèges dâ??administrateur local.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:2012.1.15AR.5-2.1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ntfs-3g.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-815.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Luc Lynx a découvert une contrefaçon de requête coté serveur (SSRF) dans
svgSalamander, permettant un accès à un réseau de confiance avec des fichiers
SVG contrefaits spécialement.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0~svn95-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets svgsalamander.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-816.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert quâ??il existait une vulnérabilité locale de divulgation de
fichier dans libphp-phpmailer, une classe de transfert de courriel pour PHP, où
une analyse insuffisante de messages HTML pourrait éventuellement être utilisée
par un attaquant pour lire un fichier local.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 5.1-1.3+deb7u1 de libphp-phpmailer.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libphp-phpmailer.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-817.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans PHP (acronyme récursif pour PHP :
Hypertext Preprocessor), un langage de script généraliste au source libre
couramment utilisé et particulièrement bien adapté pour le développement web et
pouvant être incorporé dans du HTML.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2554";>CVE-2016-2554</a>

<p>Un dépassement de pile dans ext/phar/tar.c permet à des attaquants distants
de provoquer un déni de service (plantage d'application) ou, éventuellement,
dâ??avoir un impact non précisé à l'aide d'une archive TAR contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3141";>CVE-2016-3141</a>

<p>Une vulnérabilité dâ??utilisation de mémoire après libération dans wddx.c dans
lâ??extension WDDX permet à des attaquants distants de provoquer un déni de
service (corruption de mémoire et plantage d'application) ou, éventuellement,
dâ??avoir un impact non précisé en déclenchant un appel wddx_deserialize sur des
données XML contenant un élément var contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3142";>CVE-2016-3142</a>

<p>La fonction phar_parse_zipfile dans zip.c dans lâ??extension PHAR dans PHP
avant 5.5.33 et 5.6.x avant 5.6.19 permet à des attaquants distants dâ??obtenir
des informations sensibles de la mémoire du processus ou de causer un déni de
service (lecture hors limites et plantage d'application) en positionnant une
signature PK\x05\x06 dans un emplacement non valable.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4342";>CVE-2016-4342</a>

<p>ext/phar/phar_object.c dans PHP avant 5.5.32, 5.6.x avant 5.6.18 et 7.x
avant 7.0.3 gère incorrectement des données non compressées de longueur nulle.
Cela permet à des attaquants distants de provoquer un déni de service
(corruption de mémoire de tas) ou, éventuellement, dâ??avoir un impact non précisé
à l'aide d'une archive (1) TAR, (2) ZIP ou (3) PHAR.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9934";>CVE-2016-9934</a>

<p>ext/wddx/wddx.c dans PHP avant 5.6.28 et 7.x avant 7.0.13 permet à des
attaquants distants de provoquer un déni de service (déréférencement de pointeur
NULL) à lâ??aide de données sérialisées contrefaites dans un document XML
wddxPacket, comme le montre la chaîne PDORow.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9935";>CVE-2016-9935</a>

<p>La fonction php_wddx_push_element dans ext/wddx/wddx.c dans PHP avant 5.6.29
et 7.x avant 7.0.14 permet à des attaquants distants de provoquer un déni de
service (lecture hors limites et corruption de mémoire) ou, éventuellement,
dâ??avoir un impact non précisé à l'aide d'un élément booléen vide dans un
document XML wddxPacket.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10158";>CVE-2016-10158</a>

<p>La fonction exif_convert_any_to_int dans ext/exif/exif.c dans PHP
avant 5.6.30, 7.0.x avant 7.0.15 et 7.1.x avant 7.1.1, permet à des attaquants
distants de provoquer un déni de service (plantage d'application) à lâ??aide de
données EXIF contrefaites déclenchant un essai de diviser lâ??entier minimal
négatif représentable par -1.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10159";>CVE-2016-10159</a>

<p>Un dépassement d'entier dans la fonction phar_parse_pharfile dans
ext/phar/phar.c dans PHP avant 5.6.30 et 7.0.x avant 7.0.15, permet à des
attaquants distants de provoquer un déni de service (consommation de mémoire ou
plantage d'application) à l'aide d'une entrée de manifeste tronquée dans une
archive PHAR.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10160";>CVE-2016-10160</a>

<p>Une erreur due à un décalage d'entier dans la fonction phar_parse_pharfile dans
ext/phar/phar.c dans PHP avant 5.6.30 et 7.0.x avant 7.0.15, permet à des
attaquants distants de provoquer un déni de service (corruption de mémoire) ou,
éventuellement, dâ??exécuter du code arbitraire à l'aide d'une archive PHAR
contrefaite avec une inadéquation dâ??alias.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10161";>CVE-2016-10161</a>

<p>La fonction object_common1 dans ext/standard/var_unserializer.c dans PHP
avant 5.6.30, 7.0.x avant 7.0.15 et 7.1.x avant 7.1.1, permet à des attaquants
distants de provoquer un déni de service (lecture excessive de tampon et
plantage d'application) à lâ??aide de données sérialisées contrefaites, mal gérées
dans un appel finish_nested_data.</p></li>

<li>BOGUE n° 71323

<p>La sortie de stream_get_meta_data peut être falsifiée par son entrée.</p></li>

<li>BOGUE n° 70979

<p>Plantage pour des mauvaises requêtes SOAP.</p></li>

<li>BOGUE n° 71039

<p>Les fonctions exec ignore la longueur mais recherchent un NULL final.</p></li>

<li>BOGUE n° 71459

<p>Dépassement d'entier dans iptcembed().</p></li>

<li>BOGUE n° 71391

<p>Déréférencement de pointeur NULL dans phar_tar_setupmetadata().</p></li>

<li>BOGUE n° 71335

<p>Vulnérabilité de confusion de type dans la désérialisation du paquet WDDX.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 5.4.45-0+deb7u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-818.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert que la bibliothèque C de client pour MySQL
(libmysqlclient.so) possédait une vulnérabilité dâ??utilisation de mémoire après
libération pouvant provoquer un plantage dâ??applications en utilisant ce client
MySQL.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 5.5.47-0+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mysql-5.5.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-819.data"
# $Id: $
Reply to: