[RFR] wml://lts/security/2018/dla12{27,28,29,30,31}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-xxxx.wml

Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité d'injection de code dans smarty3, un moteur
de modèles PHP.</p>

<p>Une attaque au moyen d'un nom de fichier contrefait pour l'occasion dans
des commentaires pourrait avoir pour conséquence l'exécution de code
arbitraire.. Merci à Mike Gabriel d'avoir rétroporté le correctif.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 3.1.10-2+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets smarty3.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1249.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une attaque par déni de service dans la bibliothèque d'image
libgd2. Un fichier corrompu pourrait avoir exploité une confusion de
signature menant à une boucle infinie.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2.0.36~rc1~dfsg-6.1+deb7u11.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libgd2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1248.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité d'injection dans l'outil de copie de
fichiers rsync.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 3.0.9-4+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets rsync.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1247.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tavis Ormandy a découvert une vulnérabilité dans le client BitTorrent
Transmission. Un traitement non sécurisé de RPC entre le démon de
Transmission et le(s) interface(s) client peut avoir pour conséquence
l'exécution de code arbitraire si un utilisateur visite un site web
malveillant alors que Transmission est en exécution.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.52-3+nmu3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets transmission.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1246.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité a été découverte dans GraphicsMagick, une collection
d'outils de traitement d'images, qui peut avoir pour conséquence un déni de
service.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5685";>CVE-2018-5685</a>

<p>Une boucle infinie et un blocage d'application ont été découverts dans
la fonction ReadBMPImage (coders/bmp.c). Des attaquants distants pourraient
utiliser cette vulnérabilité pour provoquer un déni de service à l'aide
d'un fichier image avec une valeur de masque de champ de bits contrefait.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.3.16-1.1+deb7u17.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1245.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Cette version réalise une mise à jour complète de la liste des
certificats . Cela comprend le retrait des certificats StartCom et WoSign
car ils sont maintenant considérés comme non fiables par les principaux
fournisseurs de navigateurs.</p>

<p>Cela comprend les certificats racine 1024 bits (nº 858064) et les
certificats non fiables StartCom et WoSign (nº 858539) retirés parce qu'ils
sont considérés comme non fiables.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 20130119+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ca-certificates.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1244.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La Check Point Research Team a découvert le lecteur multimédia XBMC
permet l'écriture arbitraire de fichier lors du téléchargement d'un fichier
de sous-titre au format zip. Cette mise à jour requiert la nouvelle
dépendance de libboost-regex1.49.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2:11.0~git20120510.82388d5-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xbmc.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1243.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Philip Huppert a découvert que le fournisseur de service Shibboleth est
vulnérable à des attaques par usurpation d'identité et à la divulgation
d'informations dues au mauvais traitement de DTD dans la bibliothèque
d'analyse XML de XMLTooling. Pour plus d'informations, veuillez consulter
l'annonce des développeurs amont à l'adresse</p>

<p><url "https://shibboleth.net/community/advisories/secadv_20180112.txt";></p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.4.2-5+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xmltooling.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1242.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>David Sopas a découvert que Kohana, un cadriciel PHP, était vulnérable à 
une attaque de script intersite scripting (XSS) qui permettait à des
attaquants distants d'injecter un script web arbitraire ou du code HTML en
contournant le mécanisme de protection strip_image_tags dans
system/classes/Kohana/Security.php. Ce problème a été résolu en supprimant
de façon permanente la fonction strip_image_tags. Il est conseillé aux
utilisateurs de vérifier les entrées de l'utilisateur en utilisant plutôt
des bibliothèques externes.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.3.4-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libkohana2-php.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1241.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Ming :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11732";>CVE-2017-11732</a>

<p>une vulnérabilité de dépassement de tas dans la fonction dcputs
(util/decompile.c) dans Ming <= 0.4.8. Cela permet à des attaquants de
provoquer un déni de service à l'aide d'un fichier SWF contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16883";>CVE-2017-16883</a>

<p>une vulnérabilité de déréférencement de pointeur NULL dans la fonction
outputSWF_TEXT_RECORD (util/outputscript.c) dans Ming <= 0.4.8. Cela permet
à des attaquants de provoquer un déni de service à l'aide d'un fichier SWF
contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16898";>CVE-2017-16898</a>

<p>une vulnérabilité de dépassement de tampon global dans la fonction
printMP3Headers (util/listmp3.c) dans Ming <= 0.4.8. Cela permet à des
attaquants de provoquer un déni de service à l'aide d'un fichier SWF
contrefait.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:0.4.4-1.1+deb7u6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ming.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1240.data"
# $Id: $