[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2019/dla-174{0,3,4,5,6,8,9}.wml

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="c8c380558bedfe898f22dd1859f4bf1975d44533" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il existait une attaque par injection de CRLF dans la bibliothèque
dâ??exécution du langage de programmation Go.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9741";>CVE-2019-9741</a>

<p>Le passage de \r\n à http.NewRequest pourrait permettre lâ??exécution
dâ??en-têtes HTTP arbitraires ou de commandes Redis.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2:1.3.3-1+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets golang.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1749.data"
# $Id: $

#use wml::debian::translation-check translation="3deacdd52e79bbcb35e11a02af6d88e8213ad196" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le serveur HTTP Apache.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-0217";>CVE-2019-0217</a>

<p>Une situation de compétition dans mod_auth_digest lorsqu'il est exécuté
dans un serveur multitâche (threaded server) pourrait permettre à un
utilisateur avec une identité valable de s'identifier avec un autre nom
d'utilisateur, en contournant les restrictions de contrôle d'accès
configurées. Ce problème a été découvert par Simon Kappel.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-0220";>CVE-2019-0220</a>

<p>Bernhard Lorenz de Alpha Strike Labs GmbH a signalé que la normalisation
d'URL était gérée de manière incohérente. Quand le composant chemin d'une
URL de requête contient plusieurs barres obliques consécutives (« / »),
des directives telles que LocationMatch et RewriteRule doivent les compter
comme dupliquées dans les expressions rationnelles tandis que d'autres
aspects du traitement des serveurs les écraseront de façon implicite.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.4.10-10+deb8u14.</p>
<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1748.data"
# $Id: $

#use wml::debian::translation-check translation="3c0eb6ab5b5c6617a633b6dcfa809808771a1376" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une absence de vérification des entrées dans le module file de Drupal,
 un cadriciel complet de gestion de contenu, pourrait permettre un
script intersite.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 7.32-1+deb8u16.</p>
<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1746.data"
# $Id: $

#use wml::debian::translation-check translation="d3448ba7a2dea69386a508c4ffc3867ed08b31bd" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour fournit les modifications dans tzdata 2019a pour les
liaisons de Perl. Pour la liste des modifications, voir DLA-1744-1.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1:1.75-2+2019a.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libdatetime-timezone-perl.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1745.data"
# $Id: $

#use wml::debian::translation-check translation="8dbc96c15bc96336d145513790c38c1ed596c2b1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour fournit les modifications dans tzdata 2019a. Les
changements notables sont :</p>

<ul>
 <li>la Palestine a démarré lâ??heure dâ??été le 30 mars 2019, au lieu du 23 mars
comme initialement prévu ;</li>
 <li>Metlakatla a cessé dâ??observer lâ??heure du Pacifique standard, rejoignant
lâ??heure dâ??Alaska,le 20 janvier 2019 à 02:00.</li>
</ul>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 2019a-0+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tzdata.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1744.data"
# $Id: $

#use wml::debian::translation-check translation="4084b6179e540f3dfdfb61f72108c7950921854f" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le client de
courriels Thunderbird. Cela pourrait permettre l'exécution de code arbitraire ou
un déni de service.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1:60.6.1-1~deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets thunderbird.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1743.data"
# $Id: $

#use wml::debian::translation-check translation="e69ae7cd292611379ab8a33fe7d64f44a678eb19" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs problèmes de sécurité ont été corrigés dans plusieurs
démultiplexeurs et décodeurs de la bibliothèque multimédia libav.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1872";>CVE-2015-1872</a>

<p>La fonction ff_mjpeg_decode_sof dans libavcodec/mjpegdec.c ne vérifiait pas
le nombre de composants dans le segment démarrage de trame JPEG-LS.
Cela permettait à des attaquants distants de provoquer un déni de service
(accès tableau hors limites) ou éventuellement dâ??avoir un impact non précisé à
lâ??aide de données Motion JPEG contrefaites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14058";>CVE-2017-14058</a>

<p>La fonction read_data dans libavformat/hls.c ne restreignait pas les essais
de rechargement pour une liste insuffisante. Cela permettait à des attaquants
distants de provoquer un déni de service (boucle infinie).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000460";>CVE-2017-1000460</a>

<p>Dans get_last_needed_nal() (libavformat/h264.c) la valeur de retour de
init_get_bits était ignorée et get_ue_golomb(&gb) était appelée dans un contexte
get_bits non initialisé. Cela causait une exception de déréférencement de NULL.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6392";>CVE-2018-6392</a>

<p>La fonction filter_slice dans libavfilter/vf_transpose.c permettait à des
attaquants distants de provoquer un déni de service (accès hors tableau) à
l'aide d'un fichier MP4 contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1999012";>CVE-2018-1999012</a>

<p>libav contenait un CWE-835 : vulnérabilité de boucle infinie dans un
démultiplexeur de format pva. Cela pouvait aboutir à une vulnérabilité qui
permettait à des attaquants de consommer des montants excessifs de ressources
telles que le CPU ou RAM. Cette attaque semble être exploitable à lâ??aide
dâ??un fichier PVA contrefait pour lâ??occasion fourni en entrée.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 6:11.12-1~deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libav.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1740.data"
# $Id: $
Reply to: