[RFR] wml://lts/security/2018/dla-148{0..9}wml

To: Debian-l10n French <debian-l10n-french@lists.debian.org>
Subject: [RFR] wml://lts/security/2018/dla-148{0..9}wml
From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
Date: Wed, 10 Apr 2019 19:03:19 +0200
Message-id: <[🔎] 20190410190319.33b2e2b1@debian>

Bonjour,

Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnÃ©rabilitÃ© a Ã©tÃ© dÃ©couverte dans SPICE avant la versionÂ 0.14.1 oÃ¹ le
code utilisÃ© pour la dÃ©sÃ©rialisation (demarshalling) de messages manquait de
vÃ©rification de limites. Un serveur ou client malveillant, aprÃ¨s authentification,
pourrait envoyer des messages contrefaits pour l'occasion Ã  son pair. Cela
pourrait aboutir Ã  un plantage ou, Ã©ventuellement, Ã  dâ??autres impacts.</p>

<p>Le problÃ¨me a Ã©tÃ© corrigÃ© par lâ??amont en abandonnant avec une erreur si le
pointeur vers le dÃ©but de donnÃ©es de message est strictement plus grand que le
pointeur vers la fin des donnÃ©es du message.</p>

<p>Le problÃ¨me ci-dessus et le correctif ont dÃ©jÃ  Ã©tÃ© annoncÃ©s pour le paquet
<q>spice</q> de Debian (DLA-1486-1 [1]). Cette annonce concerne le paquet
Â«Â·spice-gtkÂ·Â» de Debian (qui intÃ¨gre quelque copie de code du paquet
<q>spice</q>, oÃ¹ le correctif devait Ãªtre appliquÃ©).</p>

<p>[1] <a href="https://lists.debian.org/debian-lts-announce/2018/08/msg00037.html";>https://lists.debian.org/debian-lts-announce/2018/08/msg00037.html</a></p>

<p>Pour DebianÂ 8 <q>Jessie</q>, ce problÃ¨me a Ã©tÃ© corrigÃ© dans
la versionÂ 0.25-1+deb8u1.</p>
<p>Nous vous recommandons de mettre Ã  jour vos paquets spice-gtk.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1489.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnÃ©rabilitÃ© a Ã©tÃ© dÃ©couverte dans SPICE avant la versionÂ 0.14.1 oÃ¹ le
code utilisÃ© pour la dÃ©sÃ©rialisation (demarshalling) de messages manquait de
vÃ©rification de limites. Un serveur ou client malveillant, aprÃ¨s authentification,
pourrait envoyer des messages contrefaits pour l'occasion Ã  son pair. Cela
pourrait aboutir Ã  un plantage ou, Ã©ventuellement, Ã  dâ??autres impacts.</p>

<p>Le problÃ¨me a Ã©tÃ© corrigÃ© par lâ??amont en abandonnant avec une erreur si le
pointeur vers le dÃ©but de donnÃ©es de message est strictement plus grand que le
pointeur vers la fin des donnÃ©es du message.</p>

<p>Pour DebianÂ 8 <q>Jessie</q>, ce problÃ¨me a Ã©tÃ© corrigÃ© dans
la versionÂ 0.12.5-1+deb8u6.</p>
<p>Nous vous recommandons de mettre Ã  jour vos paquets spice.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1488.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-14622";>CVE-2018-14622</a>
<p>Correction pour une erreur de segmentation due Ã  un pointeur devenant NULL.</p>

</ul>

<p>Pour DebianÂ 8 <q>Jessie</q>, ce problÃ¨me a Ã©tÃ© corrigÃ© dans
la versionÂ 0.2.5-1+deb8u2.</p>
<p>Nous vous recommandons de mettre Ã  jour vos paquets libtirpc.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1487.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnÃ©rabilitÃ© a Ã©tÃ© dÃ©couverte dans SPICE avant la versionÂ 0.14.1 oÃ¹ le
code utilisÃ© pour la dÃ©sÃ©rialisation (demarshalling) de messages manquait de
vÃ©rification de limites. Un serveur ou client malveillant, aprÃ¨s authentification,
pourrait envoyer des messages contrefaits pour l'occasion Ã  son pair. Cela
pourrait aboutir Ã  un plantage ou, Ã©ventuellement, Ã  dâ??autres impacts.</p>

<p>Le problÃ¨me a Ã©tÃ© corrigÃ© par lâ??amont en abandonnant avec une erreur si le
pointeur vers le dÃ©but de donnÃ©es de message est strictement plus grand que le
pointeur vers la fin des donnÃ©es du message.</p>

<p>Pour DebianÂ 8 <q>Jessie</q>, ce problÃ¨me a Ã©tÃ© corrigÃ© dans
la versionÂ 0.12.5-1+deb8u6.</p>
<p>Nous vous recommandons de mettre Ã  jour vos paquets spice.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1486.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5740";>CVE-2018-5740</a>
<p>La fonction Â«Â·deny-answer-aliasesÂ·Â» dans BIND possÃ¨de un dÃ©faut qui peut
conduire named Ã  se terminer avec une erreur dâ??assertion.</p></li>

</ul>

<p>Pour DebianÂ 8 <q>Jessie</q>, ce problÃ¨me a Ã©tÃ© corrigÃ© dans
la versionÂ 1:9.9.5.dfsg-9+deb8u16.</p>
<p>Nous vous recommandons de mettre Ã  jour vos paquets bind9.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1485.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait un certain nombre de vulnÃ©rabilitÃ©s de script intersite (XSS)
dans le client de messagerie web squirrelmail.</p>

<p>Pour DebianÂ 8 <q>Jessie</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans la
versionÂ 2:1.4.23~svn20120406-2+deb8u3.</p>

<p>Nous vous recommandons de mettre Ã  jour vos paquets squirrelmail.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1484.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10871";>CVE-2018-10871</a>

<p>Par dÃ©faut, nsslapd-unhashed-pw-switch Ã©tait rÃ©glÃ© Ã  <q>on</q>. Donc une
copie du mot de passe non chiffrÃ© Ã©tait conservÃ©e dans les modificateurs et
Ã©tait Ã©ventuellement enregistrÃ©e dans le journal de modifications et
retroChangeLog.</p>

<p>Ã? moins dâ??Ãªtre utilisÃ© par quelque greffon, il ne requiert pas de conserver
des mots de passe non chiffrÃ©s. Lâ??option nsslapd-unhashed-pw-switch est
dÃ©sormais <q>off</q> par dÃ©faut.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10935";>CVE-2018-10935</a>

<p>Nâ??importe quel utilisateur authentifiÃ© faisant une recherche en utilisant
ldapsearch avec des contrÃ´les Ã©tendus pour une sortie cÃ´tÃ© serveur, pourrait
mettre Ã  bas le serveur LDAP lui-mÃªme.</p>

<p>La correction est de vÃ©rifier si nous sommes capables dâ??indexer la valeur
fournie. Si nous ne le sommes pas, alors slapd_qsort renvoie une erreur
(LDAP_OPERATION_ERROR).</p></li>

</ul>

<p>Pour DebianÂ 8 <q>Jessie</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans
la versionÂ 1.3.3.5-4+deb8u2.</p>
<p>Nous vous recommandons de mettre Ã  jour vos paquetsÂ 389-ds-base.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1483.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problÃ¨mes ont Ã©tÃ© dÃ©couverts dans libx11, lâ??interface du client
de systÃ¨me XÂ·Window. Les fonctions XGetFontPath, XListExtensions et XListFonts
sont vulnÃ©rables Ã  un contournement par dÃ©passement dâ??entier lors de rÃ©ponses
de serveur malveillant. Un tel serveur pourrait aussi envoyer une rÃ©ponse dans
laquelle la premiÃ¨re chaÃ®ne dÃ©borde, faisant quâ??une variable soit rÃ©glÃ©e Ã  NULL,
qui soit libÃ©rÃ©e plus tard, aboutissant Ã  une erreur de segmentation et un dÃ©ni
de service. La fonction XListExtensions dans ListExt.c interprÃ¨te une variable
comme signÃ©e au lieu de non signÃ©e, aboutissant Ã  une Ã©criture hors limites
(jusquâ??Ã  128Â octets), aboutissant Ã  un dÃ©ni de service ou Ã©ventuellement Ã 
lâ??exÃ©cution de code Ã  distance.</p>

<p>Pour DebianÂ 8 <q>Jessie</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans
la versionÂ 2:1.6.2-3+deb8u2.</p>
<p>Nous vous recommandons de mettre Ã  jour vos paquets libx11.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1482.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs chercheurs ont dÃ©couvert une vulnÃ©rabilitÃ© dans la maniÃ¨re dont la
conception du processeur Intel a implÃ©mentÃ© lâ??exÃ©cution spÃ©culative
dâ??instructions en combinaison avec le traitement dâ??erreur de page. Ce dÃ©faut
pourrait permettre Ã  un attaquant contrÃ´lant un processus sans droits de lire la
mÃ©moire Ã  partir dâ??adresses arbitraires (contrÃ´lÃ©es par un non utilisateur),
incluant celles du noyau et de tous les autres processus en cours dâ??exÃ©cution
sur le systÃ¨me ou traverser les limites invitÃ©/hÃ´te pour lire la mÃ©moire de
lâ??hÃ´te.</p>

<p>Pour complÃ¨tement remÃ©dier Ã  ces vulnÃ©rabilitÃ©s, il est aussi nÃ©cessaire
dâ??installer le microcode du CPU (seulement disponible dans Debian non-free). Les
CPU courants de la classe serveur sont couverts par la mise Ã  jour publiÃ©e avec
DLAÂ 1446-1.</p>

<p>Pour DebianÂ 8 <q>Jessie</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans
la versionÂ 4.9.110-3+deb9u4~deb8u1.</p>
<p>Nous vous recommandons de mettre Ã  jour vos paquets linux-4.9.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1481.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnÃ©rabilitÃ©s ont Ã©tÃ© dÃ©couvertes dans RubyÂ 2.1.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2337";>CVE-2016-2337</a>

<p>Une confusion de type existe dans la mÃ©thode de classe _cancel_eval de
TclTkIp de Ruby. Un attaquant passant un type diffÃ©rent dâ??objet de String comme
argument <q>retval</q> peut causer lâ??exÃ©cution de code arbitraire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000073";>CVE-2018-1000073</a>

<p>RubyGems contient une vulnÃ©rabilitÃ© de traversÃ©e de rÃ©pertoires dans la
fonction install_location de package.rb qui pourrait aboutir Ã  une traversÃ©e de
rÃ©pertoires lors de lâ??Ã©criture dans un basedir liÃ© symboliquement, en dehors de
la racine.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000074";>CVE-2018-1000074</a>

<p>RubyGems contient une vulnÃ©rabilitÃ© de dÃ©sÃ©rialisation de donnÃ©es non fiables
dans la commande owner qui peut aboutir Ã  lâ??exÃ©cution de code. Cette attaque
semble Ãªtre exploitable Ã  lâ??aide de la victime devant exÃ©cuter la commande
<q>gem owner</q> sur un gem avec un fichier YAML contrefait pour lâ??occasion.</p></li>

</ul>

<p>Pour DebianÂ 8 <q>Jessie</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans
la versionÂ 2.1.5-2+deb8u5.</p>
<p>Nous vous recommandons de mettre Ã  jour vos paquets ruby2.1.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1480.data"
# $Id: $

Reply to:

Follow-Ups:
- Re: [RFR] wml://lts/security/2018/dla-148{0..9}wml
  - From: Baptiste Jammet <baptiste@mailoo.org>
- Re: [RFR] wml://lts/security/2018/dla-148{0..9}wml
  - From: Jean-Pierre Giraud <jenapierregiraud75@free.fr>

Prev by Date: [RFR2] wml://security/2019/dsa-442{7,8}.wml
Next by Date: [BTS#926837] po-debconf://neutron-dynamic-routing/fr.po
Previous by thread: Re: Debian Edu Buster manual: another round of translation updates
Next by thread: Re: [RFR] wml://lts/security/2018/dla-148{0..9}wml
Index(es):
- Date
- Thread