[RFR] wml://lts/security/2018/dla-144{0..9}wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-14xx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-14xx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux problèmes ont été découverts dans OpenSSL, la boîte à outils associée à 
SSL (Secure Socket Layer).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0732";>CVE-2018-0732</a>

<p>Déni de service par un serveur malveillant envoyant une première valeur très
large au client lors de lâ??initialisation de connexion TLS.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0737";>CVE-2018-0737</a>

<p>Alejandro Cabrera Aldaya, Billy Brumley, Cesar Pereida Garcia et Luis Manuel
Alvarez Tapia ont découvert que lâ??algorithme de génération de clef RSA dâ??OpenSSL
a été démontré être vulnérable à une attaque temporelle sur le cache. Un
attaquant avec accès suffisant pour monter de telles attaques durant le
processus de génération pourrait récupérer la clef privée.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.0.1t-1+deb8u9.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1449.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de déni de service dans policykit-1, un
cadriciel pour gérer les politiques administratives et les privilèges.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été résolus dans la
version 0.105-15~deb8u3 de policykit-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets policykit-1.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1448.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité de dépassement dâ??entier a été découverte dans libidn, la
bibliothèque GNU pour les noms de domaine internationalisés (IDNs), dans son
traitement de Punycode (caractères Unicode vers encodage ASCII), permettant à un
attaquant distant de provoquer un déni de service à  lâ??encontre dâ??applications
utilisant la bibliothèque.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.29-1+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libidn.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1447.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Des chercheurs en sécurité ont identifié deux méthodes dâ??analyse logicielle
qui, si utilisées dans des buts malveillants, ont le potentiel de rassembler
improprement des données sensibles à partir de plusieurs types de périphériques
informatiques avec des processeurs de fournisseurs différents et de systèmes
dâ??exploitation différents.</p>

<p>Cette mise à jour nécessite une mise à jour du paquet intel-microcode, qui
nâ??est pas libre. Les utilisateurs ayant déjà  installé la version de
Jessie-backports-sloppy nâ??ont nul besoin de mettre à  niveau.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-3639";>CVE-2018-3639</a>

<p>Speculative Store Bypass (SSB) â?? aussi connu comme Variante 4</p>

<p>Les systèmes avec des microprocesseurs utilisant lâ??exécution spéculative et
lâ??exécution spéculative de lectures de mémoire avant que les adresses de toutes
les écritures en mémoire antérieures soient connues, pourraient permettre une
divulgation non autorisée dâ??informations à  un attaquant avec un accès
utilisateur local à l'aide d'une analyse par canal auxiliaire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-3640";>CVE-2018-3640</a>

<p>Rogue System Register Read (RSRE) â?? aussi connu comme Variante 3a</p>

<p>Les systèmes avec des microprocesseurs utilisant lâ??exécution spéculative et
qui réalisent des lectures spéculatives de registres du système pourraient
permettre une divulgation non autorisée de paramètres du système à un attaquant
avec un accès utilisateur local à l'aide d'une analyse par canal auxiliaire.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 3.20180703.2~deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets intel-microcode.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1446.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Busybox, programmes dâ??utilitaires pour des systèmes petits et embarqués,
était affecté par plusieurs vulnérabilité de sécurité. Le projet « Common
vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-5325";>CVE-2011-5325</a>

<p>Une vulnérabilité de traversée de répertoires a été découverte dans
lâ??implémentation par Busybox de tar. Tar extrait un lien symbolique pointant
en dehors du répertoire de travail en cours et puis suit ce lien symbolique lors
de lâ??extraction dâ??autres fichiers. Cela permet une attaque de traversée de
répertoires lors de lâ??extraction dâ??archives tar non fiables.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1813";>CVE-2013-1813</a>

<p>Lorsque un nÅ?ud de périphérique ou un lien symbolique dans /dev doit être
créé à  lâ??intérieur dâ??un sous-répertoire niveau deux ou plus
(/dev/dir1/dir2.../nÅ?ud), les répertoires intermédiaires sont créés avec des
permissions incorrectes.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4607";>CVE-2014-4607</a>

<p>Une dépassement d'entier peut se produire lors du traitement de toute
variante de <q>literal run</q> dans la fonction lzo1x_decompress_safe. Chacun
de ces trois emplacements est susceptible dâ??un dépassement d'entier lors du
traitement de zéro octet. Cela expose le code copiant les <q>literal</q> à une
corruption de mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9645";>CVE-2014-9645</a>

<p>La fonction add_probe dans modutils/modprobe.c dans BusyBox permet à des
utilisateurs locaux de contourner les restrictions voulues lors du chargement de
modules de noyau à l'aide d'un caractère / (slash) dans un nom de module, comme
démontré par une commande « ifconfig /usbserial up » ou « mount -t /snd_pcm none
/ ».</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2147";>CVE-2016-2147</a>

<p>Un dépassement dâ??entier dans le client DHCP (udhcpc) dans BusyBox permet à 
des attaquants distants de provoquer un déni de service (plantage) à l'aide d'un
nom de domaine malformé, encodé selon RFC-1035, qui déclenche une écriture de tas
hors limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2148";>CVE-2016-2148</a>

<p>Un dépassement de tampon basé sur le tas dans le client DHCP (udhcpc) dans
BusyBox permet à  des attaquants distants dâ??avoir un impact non précisé à  lâ??aide
de vecteurs impliquant lâ??analyse de OPTION_6RD.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15873";>CVE-2017-15873</a>

<p>La fonction get_next_block dans archival/libarchive /decompress_bunzip2.c
dans BusyBox est sujette à  un dépassement dâ??entier qui pourrait conduire à  une
violation dâ??accès en lâ??écriture.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16544";>CVE-2017-16544</a>

<p>Dans la fonction add_match dans libbb/lineedit.c dans BusyBox, le fonction
dâ??autocomplètement tab de lâ??interpréteur, utilisé pour obtenir une liste de
noms de fichier dâ??un répertoire, ne vérifie pas les noms de fichier et aboutit
dans lâ??exécution de nâ??importe quelle séquence dâ??échappement dans le terminal.
Cela pourrait éventuellement aboutir à  lâ??exécution de code, lâ??écriture de
fichiers arbitraires ou dâ??autres attaques.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000517";>CVE-2018-1000517</a>

<p>BusyBox contient une vulnérabilité de dépassement de tampon de Busybox wget
pouvant aboutir dans un dépassement de tampon basé sur le tas. Cette attaque
semble être exploitable à  lâ??aide de la connectivité réseau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-9621";>CVE-2015-9621</a>

<p>La décompression dâ??un fichier zip spécialement contrefait aboutit dans le
calcul dâ??un pointeur non valable et un plantage en lisant une adresse non
valable.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1:1.22.0-9+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets busybox.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1445.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-11319";>CVE-2018-11319</a>
<p>Le traitement incorrect de recherche de fichiers de configuration peut
être exploité pour lâ??exécution de code arbitraire à  l'aide d'un greffon
gcc malveillant.</p></li>
</ul>

<p>For Debian 8 <q>Jessie</q>, ce problème a été corrigé dans version
3.5.0-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets vim-syntastic.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1444.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une erreur dâ??implémentation du protocole dans
evolution-data-server où des erreurs <q>STARTTLS not supported</q> à 
partir de serveurs IMAP étaient ignorées, conduisant à  lâ??utilisation de
connexions non sécurisées sans le savoir ou consentement de lâ??utilisateur.</p>

<p>For Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la
version 3.12.9~git20141128.5242b0-2+deb8u4 dâ??evolution-data-server.</p>

<p>Nous vous recommandons de mettre à jour vos paquets evolution-data-server.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1443.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux défauts ont été découverts dans mailman, un gestionnaire de liste
de diffusion basé sur le web.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0618";>CVE-2018-0618</a>

<p>Toshitsugu Yoneyama de Mitsui Bussan Secure Directions, Inc. a découvert que
mailman est prédisposé à un défaut de script intersite permettant à un
détendeur de liste malveillant dâ??injecter des scripts dans la page listinfo,
à  cause dâ??une entrée non vérifiée dans le champ host_name.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-13796";>CVE-2018-13796</a>

<p>Hammad Qureshi a découvert une vulnérabilité dâ??usurpation de contenu avec des
messages non valables de nom de liste dans lâ??interface web.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1:2.1.18-2+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mailman.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1442.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans Sympa, un gestionnaire de liste de
diffusion moderne, qui permettait un accès en écriture de fichiers dans le
système de fichiers du serveur. Ce défaut permet de créer ou modifier nâ??importe
quel fichier modifiable par lâ??utilisateur de Sympa, situé dans le système de
fichiers du serveur, en utilisant la fonction dâ??enregistrement de fichier de
modèle de lâ??interface web de Sympa.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 6.1.23~dfsg-2+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets sympa.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1441.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le paquet libarchive-zip-perl est vulnérable à une attaque de traversée de
répertoires dans Archive::Zip. Il a été découvert que le module Archive::Zip ne
vérifiait pas correctement les chemins lors de lâ??extraction de fichiers zip. Un
attaquant capable de fournir une archive contrefaite pour l'occasion à traiter
pourrait utiliser ce défaut pour écrire ou surcharger des fichiers arbitraires
dans le contexte de lâ??interpréteur Perl.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.39-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libarchive-zip-perl.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1440.data"
# $Id: $