[RFR] wml://security/2018/dsa-41{27,28,29,30}.wml
Bonjour,
quatre nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le serveur de courrier
électronique Dovecot. Le projet « Common Vulnerabilities and Exposures »
(CVE) identifie les problèmes suivants.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14461";>CVE-2017-14461</a>
<p>Aleksandar Nikolic de Cisco Talos et <q>flxflndy</q> ont découvert que
Dovecot n'analysait pas correctement les adresses de courrier électronique
non valables, ce qui peut provoquer un plantage ou la divulgation de
contenus de mémoire à un attaquant.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15130";>CVE-2017-15130</a>
<p>Les recherches de configuration TLS SNI pourraient conduire à une
utilisation de la mémoire excessive, faisant que la limite de la VSZ de
imap-login/pop3-login soit atteinte et que le processus redémarre, avec
pour conséquence un déni de service. Seules les configurations de Dovecot
contenant les blocs de configuration <code>local_name { }</code> ou
<code>local { }</code> sont affectées.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15132";>CVE-2017-15132</a>
<p>Dovecot renferme un défaut de fuite de mémoire dans le processus de
connexion lors d'une authentification SASL interrompue.</p></li>
</ul>
<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 1:2.2.13-12~deb8u4.</p>
<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 1:2.2.27-3+deb9u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets dovecot.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de dovecot, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/dovecot";>https://security-tracker.debian.org/tracker/dovecot</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4130.data"
# $Id: dsa-4130.wml,v 1.1 2018/03/04 14:56:17 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs lectures hors limites de tampon de tas ont été découvertes
dans freexl, une bibliothèque pour lire les feuilles de calcul de Microsoft
Excel, qui pourraient avoir pour conséquence un déni de service.</p>
<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 1.0.0g-1+deb8u5.</p>
<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 1.0.2-2+deb9u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets freexl.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de freexl, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/freexl";>\
https://security-tracker.debian.org/tracker/freexl</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4129.data"
# $Id: dsa-4129.wml,v 1.1 2018/03/04 14:56:17 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Traffic Server
d'Apache, un serveur mandataire inverse et de réacheminement. Elles
pourraient conduire à l'utilisation d'un mandataire amont incorrect, ou
permettre à un attaquant distant de provoquer un déni de service par
plantage de l'application.</p>
<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 7.0.0-6+deb9u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets trafficserver.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de trafficserver,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/trafficserver";>\
https://security-tracker.debian.org/tracker/trafficserver</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4128.data"
# $Id: dsa-4128.wml,v 1.1 2018/03/04 14:56:17 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans SimpleSAMLphp, une
infrastructure d'authentification, principalement au moyen du protocole
SAML.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12867";>CVE-2017-12867</a>
<p>Des attaquants dotés d'un accès à un jeton secret pourraient étendre sa
période de validité en manipulant le décalage de temps ajouté.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12869";>CVE-2017-12869</a>
<p>Lors de l'utilisation du module multiauth, des attaquants peuvent
contourner des restrictions de contexte d'authentification et utiliser
n'importe quelle source d'authentification définie dans la configuration.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12873";>CVE-2017-12873</a>
<p>Des mesures de défense ont été prises pour empêcher l'administrateur de
mal configurer des NameID persistants pour éviter un conflit d'identifiant
(n'affecte que Debian 8 Jessie).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12874";>CVE-2017-12874</a>
<p>Le module InfoCard pourrait accepter des messages XML incorrectement
signés dans de rares occasions.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18121";>CVE-2017-18121</a>
<p>Le module consentAdmin était vulnérable à une attaque de script
intersite, permettant à un attaquant de fabriquer des liens qui pourraient
exécuter du code JavaScript arbitraire dans le navigateur de la victime.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18122";>CVE-2017-18122</a>
<p>L'implémentation (obsolète) de SAML 1.1 pourrait considérer comme
valable n'importe quelle réponse SAML non signée contenant plus d'une
assertion signée, sous réserve que la signature d'au moins une des
assertions soit valable, permettant à un attaquant, qui pourrait obtenir
une assertion valable signée d'un fournisseur d'identité (IdP), d'usurper
l'identité d'utilisateurs de cet IdP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6519";>CVE-2018-6519</a>
<p>Déni de service d'expression rationnelle lors de l'analyse d'horodatages
extrêmement longs.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6521";>CVE-2018-6521</a>
<p>Modification du jeu de caractères MySQL du module sqlauth d'utf8 Ã
utf8mb pour éviter une troncature théorique de requête qui pourrait
permettre à des attaquants distants de contourner les restrictions d'accès
voulues.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7644";>CVE-2018-7644</a>
<p>Vulnérabilité critique de validation de signature.</p></li>
</ul>
<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 1.13.1-2+deb8u1.</p>
<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 1.14.11-1+deb9u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets simplesamlphp.</p>
<p>Pour disposer d'un état détaillé sur la sécurité de simplesamlphp,
veuillez consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/simplesamlphp";>\
https://security-tracker.debian.org/tracker/simplesamlphp</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4127.data"
# $Id: dsa-4127.wml,v 1.1 2018/03/04 14:56:17 jipege1-guest Exp $
Reply to: