[RFR] wml://security/2018/dsa-413{6,7,8}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans mbed TLS, une
bibliothèque légère de chiffrement et SSL/TLS, qui permettaient à un
attaquant distant soit de provoquer un déni de service par plantage de
l'application, soit d'exécuter du code arbitraire.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 2.4.2-1+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mbedtls.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de mbedtls, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/mbedtls";>\
https://security-tracker.debian.org/tracker/mbedtls</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4138.data"
# $Id: dsa-4138.wml,v 1.1 2018/03/15 13:03:44 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.4" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Libvirt, une
bibliothèque d'abstraction de virtualisation :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1064";>CVE-2018-1064</a>

<p>Daniel Berrange a découvert que l'agent client de QEMU réalisait une
validation insuffisante des données entrantes. Cela permet à un utilisateur
privilégié dans le client d'épuiser les ressources dans l'hôte de
virtualisation, avec pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5748";>CVE-2018-5748</a>

<p>Daniel Berrange et Peter Krempa ont découvert que le moniteur QEMU était
vulnérable à un déni de service surconsommation de mémoire. Cela a déjà été
corrigé dans Debian Stretch et n'affecte que Debian Jessie.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6764";>CVE-2018-6764</a>

<p>Pedro Sampaio a découvert que les conteneurs LXC ne détectaient pas les
noms d'hôte de façon sûre. Cela n'affecte que Debian Stretch.</p></li>

</ul>

<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 1.2.9-9+deb8u5.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 3.0.0-4+deb9u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libvirt.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de libvirt, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/libvirt";>https://security-tracker.debian.org/tracker/libvirt</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4137.data"
# $Id: dsa-4137.wml,v 1.1 2018/03/15 11:25:18 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque
de transfert par URL.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000120";>CVE-2018-1000120</a>

<p>Duy Phan Thanh a découvert que curl pourrait être trompé et écrire un
octet vide hors limites quand curl est appelé à travailler sur une URL FTP
avec le réglage d'émettre seulement une unique commande CWD, si la partie
répertoire de l'URL contient une séquence &ldquo;&#37;00&rdquo;.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000121";>CVE-2018-1000121</a>

<p>Dario Weisser a découvert que curl pourrait déréférencer une adresse
proche de NULL lors de la réception d'une URL LDAP du fait que la fonction
ldap_get_attribute_ber() renvoie LDAP_SUCCESS et un pointeur NULL. Un
serveur malveillant pourrait provoquer le plantage des applications
utilisant libcurl qui permettent les URL LDAP ou les redirections vers des
URL LDAP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000122";>CVE-2018-1000122</a>

<p>OSS-fuzz, assisté par Max Dymond, a découvert que curl pourrait être
entraîné à copier des données au-delà de la fin de son tampon de tas quand
il est appelé à transférer une URL RTSP.</p></li>

</ul>

<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 7.38.0-4+deb8u10.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 7.52.1-5+deb9u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de curl, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/curl";>https://security-tracker.debian.org/tracker/curl</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4136.data"
# $Id: dsa-4136.wml,v 1.1 2018/03/15 11:25:18 jipege1-guest Exp $