[RFR] wml://lts/security/2018/dla-151{0..9}wml
Bonjour,
Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-15xx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-15xx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été trouvés dans lâ??interpréteur CPython qui peut
causer un déni de service, obtenir des informations et lâ??exécution de code
arbitraire.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000158";>CVE-2017-1000158</a>
<p>CPython (alias Python) est vulnérable à un dépassement d'entier dans la
fonction PyString_DecodeEscape dans stringobject.c, aboutissant à un dépassement
de tampon basé sur le tas (et possiblement lâ??exécution de code arbitraire).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1060";>CVE-2018-1060</a>
<p>Python est vulnérable à un retour sur trace catastrophique dans la méthode
apop() dans pop3lib. Un attaquant pourrait utiliser ce défaut pour provoquer un
déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1061";>CVE-2018-1061</a>
<p>Python est vulnérable un retour sur trace catastrophique dans la méthode
difflib.IS_LINE_JUNK. Un attaquant pourrait utiliser ce défaut pour provoquer un
déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000802";>CVE-2018-1000802</a>
<p>Python Software Foundation Python (CPython) version 2.7 contient un CWE-77 :
vulnérabilité de « Improper Neutralization of Special Elements used in a
Command ('Command Injection') » dans le module shutil (fonction make_archive)
qui pourrait aboutir à un déni de service, lâ??obtention dâ??informations à lâ??aide
dâ??injection de fichiers arbitraires dans le système ou le périphérique en
entier. Cette attaque semble être exploitable à lâ??aide de passage dâ??entrée
non filtrée de lâ??utilisateur dans la fonction.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.7.9-2+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python2.7.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1519.data"
# $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans polarssl, une bibliothèque
SSL/TLS et de chiffrement légère (de nos jours continuée sous le nom de mbedtls)
qui pourraient aboutir à récupérer du texte simple à lâ??aide dâ??attaques par canal
auxiliaire.</p>
<p>Deux autres vulnérabilités mineures ont été découvertes dans polarssl qui
pourraient aboutir des erreurs de dépassement de capacité.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0497";>CVE-2018-0497</a>
<p>Comme protection contre lâ??attaque « Lucky Thirteen », le code TLS pour le
déchiffrement CBC dans le mode encrypt-then-MAC réalise des calculs MAC
supplémentaires pour compenser les variations de longueurs de message dues au
remplissage. Le montant de ces ajouts à réaliser était basé sur lâ??hypothèse que
le gros du temps est passé dans le traitement de bloc de 64·octets, ce qui est
correct pour la plupart des hachages mais pas pour SHA-384. Cela corrige le
montant du travail supplémentaire pour SHA-384 (et SHA-512, actuellement non
utilisé dans TLS ainsi que MD2 quoique personne ne devrait sâ??en soucier).</p>
<p>Câ??est un correctif de régression pour ce que
<a href="https://security-tracker.debian.org/tracker/CVE-2013-0169";>CVE-2013-0169</a>
a déjà corrigé.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0498";>CVE-2018-0498</a>
<p>La base pour les attaques de la famille Lucky 13 est pour un attaquant dâ??être
capable de faire la distinction entre les remplissages valables (long) TLS-CBC
et ceux non valables. Puisque notre code règle padlen = 0 pour les remplissages
non valables, la longueur de lâ??entrée de la fonction HMAC donne lâ??information
sur cela.</p>
<p>Lâ??information sur cette longueur (modulo la taille de bloc MD/SHA) peut être
déduite du montant de remplissage MD/SHA utilisé (cela est différent du
remplissage TLS-CBC). Si le remplissage MD/SHA est lu dâ??un tampon (statique), un
attaquant local pourrait obtenir lâ??information sur le montant utilisé à l'aide
dâ??une attaque de cache visant ce tampon.</p>
<p>Débarrassons nous de ce tampon. Maintenant le seul tampon utilisé est
celui interne de MD/SHA qui est toujours entièrement lu par la fonction
process().</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-9988";>CVE-2018-9988</a>
<p>Empêchement de dépassement de capacité lors de la vérification de limites et
ajout de la vérification de limites avant la lecture de longueur dans
ssl_parse_server_key_exchange().</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-9989";>CVE-2018-9989</a>
<p>Empêchement de dépassement de capacité lors de la vérification de limites et
ajout de la vérification de limites avant la lecture de longueur dans
ssl_parse_server_psk_hint()</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.3.9-2.1+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets polarssl.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1518.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Mario Areias a découvert que dom4j, un cadriciel XML pour Java, était
vulnérable à une attaque par injection de XML. Un attaquant capable de préciser
des attributs ou des éléments dans un document XML pouvait être capable de
modifier le document XML en entier.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.6.1+dfsg.3-2+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets dom4j.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1517.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Joran Herve a découvert que le visualisateur de document Okular était
susceptible à une traversée de répertoires à lâ??aide de documents .okular
malformé (archives de fichiers annotées). Cela pourrait aboutir à la création
de fichiers arbitraires.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 4:4.14.2-2+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets okular.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1516.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Luis Merino, Markus Vervier et Eric Sesterhenn ont découvert que
lâ??absence de vérification des entrées dans le logiciel de fax Hylafax
pourrait éventuellement aboutir à l'exécution de code arbitraire à l'aide
d'un message de fax malformé.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 3:6.0.6-6+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets hylafax.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1515.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Nick Roessler de lâ??university de Pennsylvanie a trouvé un dépassement
de tampon dans texlive-bin, les exécutables pour TexLive, la distribution
populaire du système de production de documents TeX.</p>
<p>Ce dépassement de tampon peut être utilisé pour lâ??exécution de code
arbitraire en contrefaisant une fonte spéciale Type 1 (.pfb) et en la
fournissant aux utilisateurs exécutant pdf(la)tex, dvips ou luatex de
façon que la fonte soit chargée.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 2014.20140926.35254-6+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets texlive-bin.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1514.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans OpenAFS,
un système de fichiers distribué.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16947";>CVE-2018-16947</a>
<p>Le processus du contrôleur de sauvegarde sur bande accepte les RPC entrants
mais n'exige pas (ou n'autorise pas) l'authentification de ces RPC. La gestion
de ces RPC permettent de réaliser des opérations avec les accréditations de
l'administrateur, incluant le vidage et la restauration du contenu des volumes
et la manipulation de la base de données de sauvegarde.</p>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16948";>CVE-2018-16948</a>
<p>Plusieurs routines du serveur RPC n'initialisent pas totalement les variables
de sortie avant de renvoyer, divulguant des contenus de la mémoire à la fois
à partir de la pile et du tas. � cause du gestionnaire des fonctions de cache
dâ??OpenAFS comme serveur Rx pour le service AFSCB, les clients sont aussi
susceptible dâ??une fuite d'informations.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16949";>CVE-2018-16949</a>
<p>Plusieurs types de données utilisées comme variable dâ??entrée RPC étaient
implémentés comme types de tableau illimité, limités seulement par le champ de
longueur inhérent à 32 bits à 4 GB. Un attaquant authentifié pourrait envoyé, ou
réclamer dâ??envoyer, des valeurs dâ??entrée élevées pour utiliser les ressources de
serveur attendant ces entrées, conduisant à un déni de service pour dâ??autres
utilisateurs.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.6.9-2+deb8u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openafs.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1513.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de redirection ouverte (Open Redirect) a été découverte
dans sympa. Le paramètre <q>referer</q> de lâ??action de connexion wwsympa.fcgi
peut conduire à une redirection ouverte et à un script intersite potentiel à lâ??aide
dâ??URI de données. Cette attaque semble être exploitable à lâ??aide du navigateur
de la victime ouvrant une URL contrefaite fournie par lâ??attaquant.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 6.1.23~dfsg-2+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets sympa.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1512.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Reportbug, un outil conçu pour faire facilement des rapports de bogue dans
Debian, a été en outre amélioré pour détecter automatiquement des rapports de
bogue pour de potentielles régressions causées par des mises à jour de sécurité.
Après une confirmation de lâ??utilisateur, un courriel supplémentaire avec copie
du rapport est envoyé à la liste de diffusion debian-lts.</p>
<p>Cette modification nécessite deux nouvelles dépendances, python-requests et
python-apt.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 6.6.3+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets reportbug.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1511.data"
# $Id: $
#use wml::debian::translation-check translation="e03db691eef0bf1e048da79524a1cbc851b57faf" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans GlusterFS, un
système de fichiers réparti. Des problèmes de dépassement de tampon et traversée
de répertoires pourraient conduire à une divulgation d'informations, un déni de
service ou l'exécution de code arbitraire.</p>
<p>Pour résoudre ces vulnérabilités de sécurité les limitations suivantes ont
été faites dans GlusterFS :</p>
<ul>
<li>lâ??ouverture, la lecture et lâ??écriture de fichiers spéciaux tels que
caractère ou bloc ne sont plus permis ;</li>
<li>io-stat xlator peut vider lâ??information de statistique uniquement pour le
répertoire /run/gluster.</li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 3.5.2-2+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets glusterfs.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1510.data"
# $Id: $
Reply to: