[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla16{38-41,86}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="fce40adff1381ed16a3e5ebae7ad1ff8fcbbb739" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été réglées dans libjpeg-turbo, lâ??implémentation
par défaut de JPEG pour Debian.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3616";>CVE-2016-3616</a>

<p>Lâ??utilitaire cjpeg dans libjpeg permet à des attaquants distants de
provoquer un déni de service (déréférencement de pointeur NULL et plantage
d'application) ou exécuter du code arbitraire à l'aide d'un fichier contrefait.</p>

<p>Ce problème était déjà corrigé par le même correctif réglant
 <a href="https://security-tracker.debian.org/tracker/CVE-2018-11213";>CVE-2018-11213</a> et
<a href="https://security-tracker.debian.org/tracker/CVE-2018-11214";>CVE-2018-11214</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1152";>CVE-2018-1152</a>

<p>libjpeg-turbo a été découvert vulnérable à un déni de service causé par une
division par zéro lors du traitement dâ??une image BMP contrefaite. Ce problème a
été corrigé par une vérification des limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-11212";>CVE-2018-11212</a>

<p>La fonction alloc_sarray dans jmemmgr.c permettait à des attaquants distants
de provoquer un déni de service (erreur de division par zéro) à l'aide d'un
fichier contrefait.</p>

<p>Ce problème a été traité par la vérification de la taille de lâ??image lors de
la lecture dâ??un fichier Targa et la déclaration dâ??une erreur quand la largeur ou
la hauteur de lâ??image sont égales à 0.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-11213";>CVE-2018-11213</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2018-11214";>CVE-2018-11214</a>

<p>Les fonctions get_text_gray_row et get_text_rgb_rows dans rdppm.c
permettaient à des attaquants distants de provoquer un déni de service (défaut
de segmentation) à l'aide d'un fichier contrefait.</p>

<p>La vérification de lâ??intervalle des valeurs dâ??entiers dans les fichiers
textuels PPM et lâ??ajout des vérifications pour sâ??assurer que les valeurs soient
dans lâ??intervalle indiqué, résolvent les deux problèmes.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1:1.3.1-12+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libjpeg-turbo.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1638.data"
# $Id: $

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été trouvées dans le composant journald de
systemd qui peuvent conduire à un plantage ou à lâ??exécution de code.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16864";>CVE-2018-16864</a>

<p>Une allocation de mémoire sans limites, qui pourrait conduire à un conflit de
pile avec une autre région de mémoire, a été découverte dans systemd-journald
lorsque plusieurs entrées sont envoyées à la socket de journal. Un attaquant
local, ou distant si systemd-journal-remote est utilisé, peut utiliser ce défaut
pour planter systemd-journald ou exécuter du code avec les privilèges de
journald .</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16865";>CVE-2018-16865</a>

<p>Une allocation de mémoire sans limites, qui pourrait conduire à un conflit de
pile avec une autre région de mémoire, a été découverte dans systemd-journald
lorsquâ??un programme avec des arguments longs de ligne de commande appelle
syslog. Un attaquant local peut utiliser ce défaut pour planter systemd-journald
ou augmenter ses privilèges. Les versions jusquâ??à la version 240 sont
vulnérables.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 215-17+deb8u9.</p>

<p>Nous vous recommandons de mettre à jour vos paquets systemd.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1639.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>tmpreaper, un programme qui met de lâ??ordre selon leur âge dans les fichiers
de répertoires, est vulnérable à situation de compétition. Cette
vulnérabilité pourrait être exploitée par des attaquants locaux pour réaliser
une augmentation de droits.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1.6.13+nmu1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tmpreaper.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1640.data"
# $Id: $

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs conditions dâ??épuisement de pile ont été trouvées dans mxml qui
pourrait facilement planter lors de lâ??analyse de fichiers xml.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4570";>CVE-2016-4570</a>

<p>La fonction mxmlDelete dans mxml-node.c permet à des attaquants distants de
provoquer un déni de service (consommation de pile) à lâ??aide dâ??un fichier xml
contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4571";>CVE-2016-4571</a>

<p>La fonction mxml_write_node dans mxml-file.c permet à des attaquants distants
de provoquer un déni de service (consommation de pile) à lâ??aide dâ??un fichier xml
contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20004";>CVE-2018-20004</a>

<p>Un dépassement de pile dans mxml_write_node à lâ??aide de vecteurs
impliquant un nombre à virgule flottante de double précision.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2.6-2+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mxml.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1641.data"
# $Id: $

#use wml::debian::translation-check translation="a26f88932409fb3ef191d78feb0553711090eb61" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Sylvain Beucler et Dan Walma ont découvert plusieurs problèmes de traversée
de répertoires dans DFArc, une interface et gestionnaire dâ??extensions pour le
jeu Dink Smallwood, permettant un attaquant dâ??écraser des fichiers arbitraires
dans le système de lâ??utilisateur.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 3.12-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets freedink-dfarc.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1686.data"
# $Id: $
Reply to: