[RFR] wml://lts/security/2018/dla123{2,3,4,5,6,7,8,9}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-xxxx.wml
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une augmentation de droits, un déni de service ou Ã
des fuites d'informations.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5754";>CVE-2017-5754</a>
<p>Plusieurs chercheurs ont découvert une vulnérabilité dans les
processeurs Intel, permettant à un attaquant contrôlant un processus non
privilégié de lire la mémoire à partir d'adresses arbitraires, y compris Ã
partir du noyau et de tous les autres processus en cours dâ??exécution sur le
système.</p>
<p>Cette attaque particulière a été appelée Meltdown et est traitée dans le
noyau Linux pour l'architecture Intel x86-64 par un ensemble de correctifs
nommés « Kernel Page Table Isolation », imposant une séparation presque
complète entre les mappages d'adresses du noyau et de l'espace utilisateur
et empêchant l'attaque. Cette solution peut avoir un impact en termes de
performance, et elle peut être désactivée lors de l'amorçage en passant le
code <code>pti=off</code> sur la ligne de commande du noyau.</p>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17558";>CVE-2017-17558</a>
<p>Andrey Konovalov a signalé que le noyau USB ne gérait pas correctement
certaines conditions d'erreur durant l'initialisation. Un utilisateur
physiquement présent, avec un périphérique USB spécialement conçu, peut
utiliser cela pour provoquer un déni de service (plantage ou corruption de
mémoire), ou éventuellement une augmentation de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17741";>CVE-2017-17741</a>
<p>Dmitry Vyukov a signalé que l'implémentation de KVM pour x86 pourrait
lire des données de la mémoire au-delà des limites lors de l'émulation
d'une écriture MMIO si le point de trace de kvm_mmio était activé. Une
machine virtuelle cliente pourrait être capable d'utiliser cela pour
provoquer un déni de service (plantage).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17805";>CVE-2017-17805</a>
<p>Certaines implémentations du chiffrement par bloc Salsa20 ne géraient
pas correctement les entrées de longueur nulle. Un utilisateur local
pourrait utiliser cela pour provoquer un déni de service (plantage) ou
éventuellement avoir un autre impact de sécurité.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17806";>CVE-2017-17806</a>
<p>L'implémentation de HMAC pourrait être utilisée avec un algorithme de
hachage sous-jacent qui requiert une clé, ce qui n'était pas voulu. Un
utilisateur local pourrait utiliser cela pour provoquer un déni de service
(plantage ou corruption de mémoire), ou éventuellement pour une
augmentation de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17807";>CVE-2017-17807</a>
<p>Eric Biggers a découvert que le sous-système KEYS ne vérifiait pas les
droits d'écriture lors de l'addition de clés à un trousseau par défaut d'un
processus. Un utilisateur local pourrait utiliser cela pour provoquer un
déni de service ou pour obtenir des informations sensibles.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.2.96-3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1232.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité d'utilisation de mémoire après libération
dans gifsicle, un outil en ligne de commande pour manipuler les images
GIF.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.67-1.1~deb7u1 de gifsicle.</p>
<p>Nous vous recommandons de mettre à jour vos paquets gifsicle.</p>
<p>(Merci à Herbert Parentes Fortes Neto pour son assistance dans la
préparation de cette mise à jour.)</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1233.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait plusieurs dépassements d'entiers dans gdk-pixbuf, une
bibliothèque de manipulation d'images pour la boîte à outils grapiques de
GTK. Cela pourrait mener à une corruption de mémoire et à une possible
exécution de code.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2.26.1-1+deb7u7 de gdk-pixbuf.</p>
<p>Nous vous recommandons de mettre à jour vos paquets gdk-pixbuf.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1234.data"
# $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les versions 3.3 et antérieures d'Opencv avaient des problèmes 3.3 lors
de la lecture de données qui pourraient avoir pour conséquence des
dépassements de tampons ou des dépassements d'entier.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.3.1-11+deb7u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets opencv.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1235.data"
# $Id: $
#use wml::debian::translation-check translation=1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Charles Duffy a découvert que la classe Commandline dans plexus-utils,
une collection de composants utilisés par Apache Maven, n'effectue pas une
protection suffisante des chaînes à double codage. Un attaquant peut
utiliser cela pour injecter des commandes d'interpréteur arbitraires.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:1.5.15-4+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets plexus-utils.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1236.data"
# $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Charles Duffy a découvert que la classe Commandline dans plexus-utils2,
une collection de composants utilisés par Apache Maven, n'effectue pas une
protection suffisante des chaînes à double codage. Un attaquant peut
utiliser cela pour injecter des commandes d'interpréteur arbitraires.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.0.5-1+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets plexus-utils2.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1237.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les versions 7.6 et antérieures d'Awstats sont vulnérables à un défaut
de traversée de répertoires dans le traitement des paramètres <q>config</q>
et <q>migrate</q>. En conséquence, un attaquant distant non authentifié
pourrait réaliser l'exécution de code arbitraire.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 7.0~dfsg-7+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets awstats.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1238.data"
# $Id: $
#use wml::debian::translation-check translation="433a52f0981ad6e4aaae1b5faf25d2aa3337d088" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La fonction ZipCommon::isValidPath() dans Zip/src/ZipCommon.cpp de
l'ensemble de bibliothèques C++ POCO, versions antérieures à  1.8, ne
restreint pas correctement la valeur de nom de fichier dans l'en-tête de
ZIP. Cela permet à des attaquants de conduire des attaques de traversée de
chemin absolu durant la décompression de ZIP, et éventuellement de créer ou
d'écraser des fichiers arbitraires, à l'aide d'un fichier contrefait ZIP,
lié à une <q>vulnérabilité d'injection de chemin de fichier</q>.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.3.6p1-4+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets poco.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1239.data"
# $Id: $
Reply to:
- Prev by Date:
[DONE] wml://lts/security/2019/dla-16{77,78,79,80,81).wml
- Next by Date:
Re: [RFR] wml://lts/security/2018/dla123{2,3,4,5,6,7,8,9}.wml
- Previous by thread:
[RFR] wml://lts/security/2019/dla16{47-51}.wml
- Next by thread:
Re: [RFR] wml://lts/security/2018/dla123{2,3,4,5,6,7,8,9}.wml
- Index(es):