[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://lts/security/2018/dla-149{0..9}wml

Bonjour,

le mercredi 03 avril 14:43, Baptiste Jammet a écrit :
>Quelques détails.
>
Merci Baptiste, corrections toutes intégrées.

Autre chance de commentaire.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs lectures hors limites de tampon basé sur le tas ont été trouvées
dans discount, une implémentation en C du langage de balisage Markdown, qui
permettaient à des attaquants distants de provoquer un déni de service à lâ??aide
de fichiers spécialement contrefaits.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2.1.7-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets discount.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1499.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de dépassement d'entier dans curl, un outil en
ligne de commande pour transférer des données par-dessus HTTP, etc.</p>

<p>Pour plus dâ??informations, veuillez consulter :</p>

<p><url "https://curl.haxx.se/docs/CVE-2018-14618.html";></p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 7.38.0-4+deb8u12 de curl.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1498.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été trouvés dans qemu, un émulateur rapide de
processeur.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8666";>CVE-2015-8666</a>

<p>Dépassement de tampon basé sur le tas dans QEMU lorsque construit avec
lâ??émulateur de système PC basé sur la puce Q35.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2198";>CVE-2016-2198</a>

<p>Déréférencement de pointeur NULL dans ehci_caps_write dans la prise en charge
de lâ??USB EHCI pouvant aboutir à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6833";>CVE-2016-6833</a>

<p>Utilisation après libération lors de lâ??écriture dans le périphérique vmxnet3
pouvant être utilisée pour provoquer a un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6835";>CVE-2016-6835</a>

<p>Dépassement de tampon dans vmxnet_tx_pkt_parse_headers() dans le périphérique
vmxnet3 pouvant aboutir à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8576";>CVE-2016-8576</a>

<p>Vulnérabilité de boucle infinie dans xhci_ring_fetch dans la prise en charge
de lâ??USB xHCI.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8667";>CVE-2016-8667</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8669";>CVE-2016-8669</a>

<p>Erreur de division par zéro dans set_next_tick dans lâ??émulateur de jeu de
puces JAZZ RC4030, et dans serial_update_parameters de quelques périphériques
série, pouvant aboutir à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9602";>CVE-2016-9602</a>

<p>Suivi de lien incorrect avec VirtFS.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9603";>CVE-2016-9603</a>

<p>Dépassement de tampon basé sur le tas à lâ??aide dâ??une connexion vnc dans la
prise en charge de lâ??émulateur VGA pour Cirrus CLGD 54xx.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9776";>CVE-2016-9776</a>

<p>Boucle infinie lors de la réception de données dans lâ??émulation du contrôleur
Fast Ethernet ColdFire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9907";>CVE-2016-9907</a>

<p>Fuite de mémoire dans la prise en charge du redirecteur USB usb-guest.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9911";>CVE-2016-9911</a>

<p>Fuite de mémoire dans ehci_init_transfer dans la prise en charge de EHCI USB.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9914";>CVE-2016-9914</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9915";>CVE-2016-9915</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9916";>CVE-2016-9916</a>

<p>Système de fichiers de Plan 9 (9pfs) : ajout dâ??une opération de nettoyage
dans FileOperations, dans la gestion du dorsal et le pilote du mandataire de
dorsal.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9921";>CVE-2016-9921</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9922";>CVE-2016-9922</a>

<p>Division par zéro dans cirrus_do_copy dans la prise en charge de lâ??émulateur
VGA de Cirrus CLGD 54xx.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10155";>CVE-2016-10155</a>

<p>Fuite de mémoire dans hw/watchdog/wdt_i6300esb.c permettant aux utilisateurs
privilégié de lâ??OS invité de provoquer un déni de service à l'aide d'un grand
nombre dâ??opérations de débranchement de périphérique.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-2615";>CVE-2017-2615</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-2620";>CVE-2017-2620</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-18030";>CVE-2017-18030</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2018-5683";>CVE-2018-5683</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-7718";>CVE-2017-7718</a>

<p>Problèmes dâ??accès hors limites dans la prise en charge de lâ??émulateur
VGA de Cirrus CLGD 54xx pouvant aboutir à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5525";>CVE-2017-5525</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-5526";>CVE-2017-5526</a>

<p>Problèmes de fuite de mémoire dans lâ??émulation des périphériques ac97 et
es1370.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5579";>CVE-2017-5579</a>

<p>Fuite de mémoire dans lâ??émulation de lâ??UART 16550A.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5667";>CVE-2017-5667</a>

<p>Accès hors limites durant le transfert multi-bloc dans la prise en charge de lâ??émulation SDHCI.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5715";>CVE-2017-5715</a>

<p>Mitigations de la vulnérabilité Spectre v2. Pour plus dâ??informations, consulter
<a href="https://www.qemu.org/2018/01/04/spectre/";>https://www.qemu.org/2018/01/04/spectre/</a></p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5856";>CVE-2017-5856</a>

<p>Fuite de mémoire dans la prise en charge de lâ??émulation de lâ??adaptateur de
bus hôte SAS 8708EM2 MegaRAID.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5973";>CVE-2017-5973</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-5987";>CVE-2017-5987</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-6505";>CVE-2017-6505</a>

<p>Problèmes de boucle infinie dans lâ??USB xHCI, dans le registre de transfert
de mode et lâ??USB ohci_service_ed_list</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7377";>CVE-2017-7377</a>

<p>9pfs : fuite de mémoire de lâ??hôte à lâ??aide de v9fs_create.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7493";>CVE-2017-7493</a>

<p>Problèmes de contrôle dâ??accès dans le partage de répertoire hôte à lâ??aide de
prise en charge de 9pfs.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7980";>CVE-2017-7980</a>

<p>Dépassement de tampon basé sur le tas dans le périphérique VGA de Cirrus
pouvant permettre à des utilisateurs de lâ??OS invité local dâ??exécuter du code
arbitraire ou causer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8086";>CVE-2017-8086</a>

<p>9pfs : fuite de mémoire de lâ??hôte à lâ??aide de v9pfs_list_xattr.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8112";>CVE-2017-8112</a>

<p>Boucle infinie dans lâ??émulation PVSCSI VMWare.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8309";>CVE-2017-8309</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-8379";>CVE-2017-8379</a>

<p>Problèmes de fuite de mémoire de lâ??hôte à lâ??aide du tampon de capture audio
et les gestionnaires dâ??évènements de saisie de clavier.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9330";>CVE-2017-9330</a>

<p>Boucle infinie due à une valeur de retour incorrecte dans lâ??USB OHCI pouvant
aboutir à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9373";>CVE-2017-9373</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-9374";>CVE-2017-9374</a>

<p>Fuite de mémoire de lâ??hôte durant le débranchement à chaud dans lâ??IDE AHCI et
les périphériques USB émulés, pouvant aboutir à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9503";>CVE-2017-9503</a>

<p>Déréférencement de pointeur NULL durant le traitement de commande megasas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10806";>CVE-2017-10806</a>

<p>Dépassement de tampon de pile dans le redirecteur USB.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10911";>CVE-2017-10911</a>

<p>Disque Xen pouvant laisser fuir des données de pile à lâ??aide de structure de
réponse (response ring).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11434";>CVE-2017-11434</a>

<p>Lecture hors limites lors de lâ??analyse des options Slirp/DHCP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14167";>CVE-2017-14167</a>

<p>Accès hors limites durant le traitement dâ??en-têtes multiboot pouvant aboutir à
l'exécution de code arbitraire</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15038";>CVE-2017-15038</a>

<p>9pfs : divulgation d'informations lors de la lecture des attributs étendus.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15289";>CVE-2017-15289</a>

<p>Problème dâ??accès en écriture hors limites dans lâ??adaptateur graphique de
Cirrus pouvant aboutir à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16845";>CVE-2017-16845</a>

<p>Fuite d'informations dans la prise en charge de lâ??émulation de la souris et
du clavier PS/2 pouvant être exploitée pendant la migration dâ??instance.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18043";>CVE-2017-18043</a>

<p>Dépassement dâ??entier dans la macro ROUND_UP (n, d) pouvant aboutir à un déni
de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7550";>CVE-2018-7550</a>

<p>Traitement incorrect de la mémoire lors du multiboot pouvant aboutir à
lâ??exécution de code arbitraire.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1:2.1+dfsg-12+deb8u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1497.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que le paquet git-annex possédait plusieurs vulnérabilités
lorsquâ??utilisé avec des données non fiables. Cela pourrait conduire à
lâ??exécution de commande arbitraire et lâ??exfiltration de données chiffrées.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12976";>CVE-2017-12976</a>

<p>git-annex avant 6.20170818 permettait à des attaquants distants dâ??exécuter
des commandes arbitraires à l'aide d'une URL SSH ayant un caractère tiret
initial dans le nom dâ??hôte, comme par exemple, avec ssh://-eProxyCommand= URL,
un problème concernant <a href="https://security-tracker.debian.org/tracker/CVE-2017-9800";>CVE-2017-9800</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2017-12836";>CVE-2017-12836</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2017-1000116";>CVE-2017-1000116</a>, et
<a href="https://security-tracker.debian.org/tracker/CVE-2017-1000117";>CVE-2017-1000117</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10857";>CVE-2018-10857</a>

<p>git-annex est vulnérable à une exposition de données privées et à une attaque
par exfiltration. Il pourrait exposer le contenu de fichiers situés en dehors du
dépôt de git-annex, ou du contenu dâ??un serveur web privé sur localhost ou LAN.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10859";>CVE-2018-10859</a>

<p>git-annex est vulnérable à une divulgation dâ??information lors du déchiffrement
de fichiers. Un serveur contrefait pour une opération distante spéciale
pourrait duper git-annex pour déchiffrer un fichier qui était chiffré avec la
clef GPG de lâ??utilisateur. Cette attaque pourrait être utilisée pour divulguer
des données chiffrées qui n'avaient jamais été stockées dans git-annex</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 5.20141125+oops-1+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets git-annex.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1495.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Deux vulnérabilités ont été découvertes dans php5, un langage de script
embarqué dans du HTML et côté serveur. L'un
 (<a href="https://security-tracker.debian.org/tracker/CVE-2018-14851";>CVE-2018-14851</a>)
conduit à un déni de service potentiel (lecture hors limites et plantage
d'application) à l'aide d'un fichier JPEG contrefait. Lâ??autre
(<a href="https://security-tracker.debian.org/tracker/CVE-2018-14883";>CVE-2018-14883</a>)
est un dépassement dâ??entier conduisant à une lecture hors limites de tampon basé
sur le tas.</p>

<p>De plus, un correctif précédemment introduit pour
<a href="https://security-tracker.debian.org/tracker/CVE-2017-7272";>CVE-2017-7272</a>
a été découvert comme affectant négativement des applications PHP existantes
(n° 890266). En conséquence de ces effets négatifs et le fait que lâ??équipe de
sécurité ait marqué le CVE en question comme « ignore », le correctif a été
supprimé.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 5.6.37+dfsg-0+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1490.data"
# $Id: $
Reply to: