[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2018/dsa-421{8,9}.wml

Bonjour,
deux nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="d11cf1b0803bc7729a91ad6add2ac877fe1b5a5e" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans jruby, une
implémentation en Java du langage de programmation Ruby. Elles pourraient
permettre à un attaquant d'utiliser des fichiers gem contrefaits pour
l'occasion pour monter des attaques par script intersite, provoquer un déni
de service au moyen d'une boucle infinie, écrire des fichiers arbitraires
ou exécuter du code malveillant.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 1.7.26-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jruby.</p>

<p>En complément, ce message sert aussi à annoncer que le suivi de sécurité
de jruby dans la version Debian 8 oldstable (Jessie) est désormais terminé.</p>

<p>Les utilisateurs de jruby dans Debian 8 qui souhaitent bénéficier de
mises à jour de sécurité sont fortement encouragés à procéder maintenant à
une mise à niveau vers la distribution Debian 9 stable actuelle (Stretch).</p>

<p>Pour disposer d'un état détaillé sur la sécurité de jruby, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/jruby";>\
https://security-tracker.debian.org/tracker/jruby</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4219.data"
# $Id: $

#use wml::debian::translation-check translation="4ebfdd503e9e85f67ec7fcf9034b307c4969a337" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans memcached, un système
de gestion d'objets en mémoire de haute performance. Le projet « Common
Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9951";>CVE-2017-9951</a>

<p>Daniel Shapira a signalé une lecture hors limites de tampon de tas dans
memcached (résultant d'une correction incomplète pour <a
href="https://security-tracker.debian.org/tracker/CVE-2016-8705";>CVE-2016-8705</a>)
déclenchée par des requêtes, contrefaites pour l'occasion, pour ajouter ou
définir une clé et permettant à un attaquant distant de provoquer un déni
de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000115";>CVE-2018-1000115</a>

<p>Il a été signalé que memcached est par défaut à l'écoute sur UDP. Un
attaquant distant peut tirer avantage de cela pour utiliser le service
memcached comme un amplificateur de déni de service distribué (DDOS).</p>

<p>Les installations par défaut de memcached dans Debian ne sont pas
affectées par ce problème dans la mesure où l'installation par défaut est
seulement à l'écoute sur localhost. Cette mise à jour désactive le port UDP
par défaut. L'écoute sur UDP peut être réactivée dans le fichier
/etc/memcached.conf (cf. /usr/share/doc/memcached/NEWS.Debian.gz).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000127";>CVE-2018-1000127</a>

<p>Un dépassement d'entier a été signalé dans memcached, avec pour
conséquence des fuites de ressources, une corruption de données, des
blocages ou des plantages.</p></li>

</ul>

<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 1.4.21-1.1+deb8u2.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 1.4.33-1+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets memcached.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de memcached, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/memcached";>\
https://security-tracker.debian.org/tracker/memcached</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4218.data"
# $Id: $
Reply to: