[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla1{700,627-630}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été corrigés dans Qt.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-15518";>CVE-2018-15518</a>

<p>Une double libération ou corruption lors de lâ??analyse dâ??un document XML
spécialement contrefait et non valable.</p></li>


<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19870";>CVE-2018-19870</a>

<p>Une image GIF malformée pouvait causer un déréférencement de pointeur NULL dans
QGifHandler aboutissant à une erreur de segmentation.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19873";>CVE-2018-19873</a>

<p>QBmpHandler possédait un dépassement de tampon à lâ??aide de données BMP.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 5.3.2+dfsg-4+deb8u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qtbase-opensource-src.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1627.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été trouvés dans la bibliothèque JPEG-2000 JasPer
qui pourraient conduire à un déni de service (plantage d'application), des
fuites de mémoire et éventuellement l'exécution de code arbitraire si un fichier
dâ??image malformé est traité.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.900.1-debian1-2.4+deb8u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jasper.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1628.data"
# $Id: $

#use wml::debian::translation-check translation="e4928a7ce7d99be10f157a113e1f39a03cf01b60" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p> Il existait une vulnérabilité dâ??injection de contenu dans les pages 404
par défaut dans le cadriciel de développement web Django.</p>

<p>Pour plus dâ??informations, veuillez consulter :</p>

<p><url "https://www.djangoproject.com/weblog/2019/jan/04/security-releases/";></p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.7.11-1+deb8u4 de python-django.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1629.data"
# $Id: $

#use wml::debian::translation-check translation="244380ed6414a14f265795cff6ac8dab1d04e3a3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été corrigées dans la bibliothèque
multimédia libav qui pouvaient conduire à un déni de service, une divulgation
d'informations ou une exécution de code arbitraire si un fichier malformé était
traité.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9993";>CVE-2017-9993</a>

<p>Libav ne restreint pas correctement les extensions de noms de fichier de flux
HTTP Live et de noms de démultiplexeur. Cela permet à des attaquants de lire des
fichiers arbitraires à lâ??aide de données de liste de lecture contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9994";>CVE-2017-9994</a>

<p>libavcodec/webp.c dans Libav ne sâ??assure pas que pix_fmt est défini. Cela
permet à des attaquants distants de provoquer un déni de service (un dépassement
de tampon basé sur le tas et plantage d'application) ou éventuellement dâ??avoir
un impact non précisé à l'aide d'un fichier contrefait, relatif aux fonctions
vp8_decode_mb_row_no_filter et pred8x8_128_dc_8_cs.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14055";>CVE-2017-14055</a>

<p>Un déni de service dans mv_read_header() dû à une absence dâ??une vérification
dâ??EOF (End of File) peut provoquer un énorme consommation de CPU et mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14056";>CVE-2017-14056</a>

<p>Un déni de service dans rl2_read_header() dû à une absence dâ??une vérification
dâ??EOF (End of File) peut provoquer un énorme consommation de CPU et mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14057";>CVE-2017-14057</a>

<p>Un déni de service dans asf_read_marker() dû à une absence dâ??une vérification
dâ??EOF (End of File) peut provoquer un énorme consommation de CPU et mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14170";>CVE-2017-14170</a>

<p>Un déni de service dans mxf_read_index_entry_array() dû à une absence dâ??une vérification
dâ??EOF (End of File) peut provoquer un énorme consommation de CPU et mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14171";>CVE-2017-14171</a>

<p>Un déni de service dans nsv_parse_NSVf_header() dû à une absence dâ??une vérification
dâ??EOF (End of File) peut provoquer un énorme consommation de CPU et mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14767";>CVE-2017-14767</a>

<p>La fonction sdp_parse_fmtp_config_h264 dans libavformat/rtpdec_h264.c gère
incorrectement les valeurs vides sprop-parameter-sets. Cela permet à des
attaquants distants de provoquer un déni de service (un dépassement de tampon
basé sur le tas) ou éventuellement dâ??avoir un impact non précisé à l'aide d'un
fichier sdp contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15672";>CVE-2017-15672</a>

<p>La fonction read_header dans libavcodec/ffv1dec.c permet à des attaquants
distants dâ??avoir un impact non précisé à l'aide d'un fichier MP4 contrefait
déclenchant une lecture hors limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17130";>CVE-2017-17130</a>

<p>La fonction ff_free_picture_tables dans libavcodec/mpegpicture.c permet à des
attaquants distants de provoquer un déni de service (un dépassement de tampon
basé sur le tas et plantage d'application) ou éventuellement dâ??avoir un impact
non précisé à l'aide d'un fichier contrefait, relatif à
vc1_decode_i_blocks_adv.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6621";>CVE-2018-6621</a>

<p>La fonction decode_frame dans libavcodec/utvideodec.c dans Libav permet à des
attaquants distants de provoquer un déni de service (lecture hors table) à
l'aide d'un fichier AVI contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7557";>CVE-2018-7557</a>

<p>La fonction decode_init dans libavcodec/utvideodec.c dans Libav permet à des
attaquants distants de provoquer un déni de service (lecture hors table) à
l'aide d'un fichier AVI avec des dimensions contrefaites dans les données de
sous-échantillonnage chroma.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-14394";>CVE-2018-14394</a>

<p>libavformat/movenc.c dans Libav permet à des attaquants de provoquer un déni
de service (plantage d'application causé par une erreur de division par zéro)
avec un fichier audio Waveform contrefait dâ??utilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1999010";>CVE-2018-1999010</a>

<p>Libav contient plusieurs vulnérabilités dâ??accès hors table dans le protocole
mms qui peuvent aboutir à ce que des attaquants accèdent à des données hors
limites.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 6:11.12-1~deb8u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libav.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1630.data"
# $Id: $

#use wml::debian::translation-check translation="dd87c2e09c333772ced50302a5b4ef3650fe14da" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité a été découverte dans uw-imap, la boîte à outils IMAP de
lâ??Université de Washington, qui pourrait permettre à des attaquants distants
dâ??exécuter des commandes arbitraires dâ??OS si le nom de serveur IMAP est une
entrée non approuvée (par exemple, entrée par un utilisateur de lâ??application
web) et si rsh a été remplacé par un programme avec des sémantiques dâ??argument
différentes.</p>

<p>Cette mise à jour désactive lâ??accès aux boîtes aux lettres IMAP en exécutant
imapd au-dessus de rsh, et par conséquent ssh pour les utilisateurs de
lâ??application cliente. Le code qui utilise la bibliothèque peut toujours
lâ??activer avec tcp_parameters() après sâ??être assuré que le nom du serveur IMAP
ait été vérifié.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 8:2007f~dfsg-4+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets uw-imap.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1700.data"
# $Id: $
Reply to: