[RFR] wml://lts/security/2018/dla-146{0..9}wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-14xx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-14xx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de déni de service ou (éventuellement
dâ??exécution de code) dans libxcursor, une bibliothèque conçue pour
localiser et charger des curseurs pour le système X Window.</p>

<p>Pour Debian 8 <q>Jessie</q>, cet problèmes ont été résolus dans la
version 1:1.1.14-1+deb8u2 de libxcursor.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxcursor.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1469.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10906";>CVE-2018-10906</a>
<p>Correctif pour un contournement de restriction pour lâ??option<q>allow_other</q>
quand SELinux est actif.</p></li>
</ul>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 2.9.3-15+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets fuse.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1468.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que rubyzip, un module de Ruby pour lire et écrire des
fichiers zip, contenait une vulnérabilité de traversée de répertoires, pouvant
être exploitée pour écrire des fichiers arbitraires dans système de fichiers.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.1.6-1+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ruby-zip.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1467.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une augmentation de droits ou un déni de service.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5390";>CVE-2018-5390</a>

<p>(SegmentSmack)</p>

<p>Juha-Matti Tilli a découvert qu'un attaquant distant peut déclencher les
pires chemins de code pour le réassemblement d'un flux TCP avec un faible
débit de paquets contrefaits pour l'occasion, menant à un déni de service
distant.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5391";>CVE-2018-5391</a>

<p>(FragmentSmack)</p>

<p>Juha-Matti Tilli a découvert un défaut dans la manière dont le noyau
Linux gérait le réassemblage de paquets IPv4 et IPv6 fragmentés. Un
attaquant distant peut tirer avantage de ce défaut pour déclencher des
algorithmes de réassemblage de fragments coûteux en temps et en calcul en
envoyant des paquets contrefaits pour l'occasion, menant à un déni de
service distant.</p>

<p>Ce défaut est atténué en réduisant les limites par défaut d'utilisation
de la mémoire pour des paquets fragmentés incomplets. La même atténuation
peut être obtenue sans nécessiter de redémarrage, en réglant sysctls :</p>

<p>net.ipv4.ipfrag_high_thresh = 262144<br>
net.ipv6.ip6frag_high_thresh = 262144<br>
net.ipv4.ipfrag_low_thresh = 196608<br>
net.ipv6.ip6frag_low_thresh = 196608</p>

<p>Les valeurs par défaut peuvent encore être augmentées par une
configuration locale si nécessaire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-13405";>CVE-2018-13405</a>

<p>Jann Horn a découvert que la fonction inode_init_owner de fs/inode.c
dans le noyau Linux permet à des utilisateurs locaux de créer des fichiers
avec la propriété d'un groupe non prévu permettant à des attaquants
d'augmenter leurs droits en rendant un simple fichier exécutable et SGID.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 4.9.110-3+deb9u2~deb8u1. Cette mise à jour inclut des correctifs pour
plusieurs régressions dans la dernière version mineure.</p>

<p>La version 4.9.110-3+deb9u1~deb8u1 précédente incluait tous les correctifs
ci-dessus, excepté pour
<a href="https://security-tracker.debian.org/tracker/CVE-2018-5391";>CVE-2018-5391</a>,
qui doit être mitigé comme expliqué ci-dessus.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux-4.9.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1466.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans divers analyseurs de
Blender, un modeleur et moteur de rendu 3D. Des fichiers de modèle .blend
mal formés et des fichiers multimédia mal formés (AVI, BMP, HDR, CIN, IRIS,
PNG, TIFF) peuvent avoir pour conséquence l'exécution de code arbitraire.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.72.b+dfsg0-3+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets blender.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1465.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un utilisateur sans privilèges de dblink ou postgres_fdw pourrait contourner
les vérifications prévues pour empêcher lâ??utilisation des accréditations du côté
serveur, telles que le fichier ~/.pgpass possédé par lâ??utilisateur du système
dâ??exploitation exécutant le serveur. Les serveurs permettant lâ??authentification
de pair sur des connexions locales sont particulièrement vulnérables. Dâ??autres
attaques telles quâ??une injection SQL dans une session postgres_fdw sont aussi
possibles. Attaquer postgres_fdw de cette façon requiert la possibilité de créer
un objet étranger de serveur avec des paramètres de connexion choisis, mais
nâ??importe quel utilisateur avec accès à  dblink pourrait exploiter ce problème.
En général, un attaquant avec la possibilité de choisir les paramètres de
connexion pour une application utilisant libpq pourrait causer des troubles,
toutefois des scénarios dâ??attaque plausibles sont difficiles à  imaginer. Nos
mercis à Andrew Krasichkov pour le signalement de ce problème.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 9.4.19-0+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets postgresql-9.4.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1464.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Divers vulnérabilités conduisant à  un déni de service ou dâ??autres possibles
impacts non précisés ont été découverts dans sam2p, un utilitaire pour convertir
des images matricielles en EPS, PDF et autres formats.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12578";>CVE-2018-12578</a>

<p>Dépassement de tampon basé sur le tas dans bmp_compress1_row. Merci à Peter
Szabo pour la fourniture du correctif.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12601";>CVE-2018-12601</a>

<p>Dépassement de tampon basé sur le tas dans la fonction ReadImage, dans le
fichier input-tga.ci. Merci à Peter Szabo pour la fourniture du correctif.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 0.49.2-3+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets sam2p.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1463.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La vulnérabilité suivante a été découverte dans wpa_supplicant.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-14526";>CVE-2018-14526</a>

<p>Un problème a été découvert dans rsn_supp/wpa.c dans wpa_supplicant 2.0
jusquâ??à  2.6. Sous certaines conditions, lâ??intégrité de messages EAPOL-Key nâ??est
pas vérifiée, conduisant à un déchiffrement par oracle (decryption oracle). Un
attaquant dans le périmètre du point dâ??accès et du client peut exploiter cette
vulnérabilité pour récupérer des informations sensibles.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 2.3-1+deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets wpa.</p>

<p>Further information about Debian LTS security advisories, how to apply
these updates to your system et frequently asked questions can be
ont trouvé at: <a href="https://wiki.debian.org/LTS.";>https://wiki.debian.org/LTS.</a></p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1462.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>ClamAV, un utilitaire anti-virus pour Unix, a publié la version 0.100.1.
Lâ??installation de cette nouvelle version est nécessaire pour utiliser toutes les
signatures de virus actuels et éviter les avertissements.</p>

<p>Cette version corrige aussi deux problèmes de sécurité découverts après la
version 0.100.0:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0360";>CVE-2018-0360</a>

<p>Dépassement dâ??entier avec une boucle infinie résultante à  l'aide d'un
fichier contrefait du traitement de texte Hangul. Rapporté par Secunia Research
à Flexera.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0361";>CVE-2018-0361</a>

<p>Vérification de longueur dâ??objet PDF, durée excessive pour analyser un fichier
relativement petit. Rapporté par aCaB.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 0.100.1+dfsg-0+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets clamav.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1461.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans libsmpack, une
bibliothèque utilisée pour gérer les formats de compression de Microsoft.</p>

<p>Un attaquant distant pourrait élaborer des fichiers malveillants .CAB, .CHM
ou .KWAJ et utiliser ces failles pour provoquer un déni de service à  lâ??aide
dâ??un plantage d'application, ou éventuellement exécuter du code arbitraire.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été résolus dans la
version 0.5-1+deb8u2 de libmspack.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libmspack.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1460.data"
# $Id: $