[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2018/dla-139{0..9}wml

Bonjour,

Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-13xx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-13xx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux défauts ont été découverts dans ruby-passenger pour la prise en charge
de Ruby Rails et Rack qui permettaient à des attaquants dâ??usurper des en-têtes
HTTP ou exploiter une situation de compétition pour une élévation des privilèges
sous certaines conditions possibles.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7519";>CVE-2015-7519</a>

<p>Des attaquants distants pourraient usurper des en-têtes passés à des
applications en utilisant un caractère de soulignement au lieu dâ??un tiret dans
un en-tête HTTP comme démontré avec un en-tête X_User.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12029";>CVE-2018-12029</a>

<p>Une vulnérabilité a été découverte par lâ??équipe Pulse Security. Elle était
exploitable seulement lors de lâ??exécution de passenger_instance_registry_dir non
standard, à l'aide d'un situation de compétition où après un fichier était créé,
il existait une fenêtre dans laquelle il pouvait être remplacé par un lien
symbolique avant dâ??être « chowned » à lâ??aide du chemin et pas avec le
descripteur de fichier. Si la cible du lien symbolique était un fichier qui
devait être exécuté par root tel quâ??un fichier crontab, alors une élévation
des privilèges était possible. Cela est maintenant limité par lâ??utilisation de
fchown().</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 4.0.53-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ruby-passenger.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1399.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dans Horde-Crypt, une bibliothèque de chiffrement faisant partie du cadriciel
PHP Horde, une injection de commande était possible lorsquâ??un utilisateur
dâ??Horde utilisait les fonctions PGP pour visualiser un courriel chiffré.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.5.0-5+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php-horde-crypt.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1398.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été trouvés dans PHP, un langage de script
polyvalent au code source ouvert largement utilisé.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7584";>CVE-2018-7584</a>

<p>Un dépassement de tampon de pile lors de lâ??analyse de réponses HTTP
aboutissait en une copie dâ??une large chaîne et une possible corruption de
mémoire ou un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10545";>CVE-2018-10545</a>

<p>Les processus fils FPM déchargeables permettaient le contournement des
contrôles d'accès d'opcache aboutissant à une divulgation potentielle
d'informations où un utilisateur peut obtenir des informations sur dâ??autres
applications PHP exécutées par un autre utilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10546";>CVE-2018-10546</a>

<p>Une séquence non valable dâ??octets peut déclencher une boucle infinie dans le
filtre de flux convert.iconv.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10547";>CVE-2018-10547</a>

<p>Une correction précédente pour
<a href="https://security-tracker.debian.org/tracker/CVE-2018-5712";>CVE-2018-5712</a>
pourrait ne pas être complète, conduisant à une vulnérabilité supplémentaire
sous la forme dâ??un XSS réfléchi dans les pages dâ??erreur 403 et 404 de PHAR.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10548";>CVE-2018-10548</a>

<p>Un serveur LDAP distant malveillant peut envoyer une réponse contrefaite qui
peut causer un déni de service (déréférencement de pointeur NULL aboutissant à
un plantage d'application).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10549";>CVE-2018-10549</a>

<p>Un fichier JPEG contrefait peut causer une lecture hors limites et un
dépassement de tampon basé sur le tas.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 5.6.36+dfsg-0+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1397.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait un certain nombre de vulnérabilités dans redis, une base de
données clé-valeur persistante.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-11218";>CVE-2018-11218</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2018-11219";>CVE-2018-11219</a>
<p>Plusieurs vulnérabilités de corruption de tas et dépassement d'entier. (n° 901495)</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12326";>CVE-2018-12326</a>
<p>Dépassement de tampon dans lâ??outil « redis-cli » qui aurait pu permettre à un
attaquant de réaliser une exécution de code ou dâ??obtenir des privilèges supérieurs
à l'aide d'une ligne de commande contrefaite (n° 902410)</p></li>

</ul>

<p> Pour Debian 8 <q>Jessie</q>, ces problèmes ont été résolus dans la
version 2:2.8.17-1+deb8u6 de redis.</p>

<p>Nous vous recommandons de mettre à jour vos paquets redis.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1396.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités dâ??exécution de code à distance dans php-horde-image, la
bibliothèque de traitement d'images pour la suite de travail collaboratif Horde
<url "https://www.horde.org/";>.</p>

<ul>

 <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9774";>CVE-2017-9774</a>
<p>Une vulnérabilité dâ??exécution de code à distance (RCE) qui était exploitable par
un utilisateur connecté envoyant une requête GET HTTP contrefaite et malveillante
à divers dorsaux dâ??image.</p>

<p>Remarquez que le correctif appliqué en amont possède une régression en ce
quâ??il ignore lâ??option <q>force aspect ratio</q>. Consulter
<a href="https://github.com/horde/Image/pull/1";>https://github.com/horde/Image/pull/1</a>.</p></li>

 <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14650";>CVE-2017-14650</a>
<p>Une autre RCE qui était exploitable par un utilisateur connecté envoyant une
requête GET contrefaite et malveillante au dorsal <q>im</q> dâ??image.</p></li>

</ul>

<p> Pour Debian 8 <q>Jessie</q>, ces problèmes ont été résolus dans la
version 2.1.0-4+deb8u1 de php-horde-image.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php-horde-image.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1395.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans ImageMagick, un
programme de manipulation dâ??image, qui permettent à des attaquants distants de
provoquer un déni de service (plantage d'application) ou un accès en mémoire
hors limites à lâ??aide de fichiers dâ??image SUN, BMP, ou DIB contrefaits.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 8:6.8.9.9-5+deb8u13.</p>
<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1394.data"
# $Id: $

#use wml::debian::translation-check translation="3afca7403160a4e1b75b5a1beab6f497f9fc230e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Fin de vie de la prise en change à long terme de Debian 7</define-tag>
<define-tag moreinfo>
<p>
Lâ??équipe Debian de prise en charge à long terme (LTS) par la présente annonce
que la prise en charge de Debian 7 « Wheezy » a atteint sa fin de vie le
31 mai 2018, cinq ans après sa première publication le 4 mai 2013.
</p>
<p>
Debian ne fournira plus de mise à jour de sécurité pour Debian 7. Un
sous-ensemble de paquets de Wheezy sera pris en charge par des parties tierces.
Des informations détaillées peuvent être trouvées sur [Extended LTS].
</p>
<p>
Lâ??équipe LTS prépare la transition vers Debian 8 « Jessie » qui est lâ??actuelle
publication « oldstable ». Lâ??équipe LTS se substituera à lâ??équipe de Sécurité
pour la prise en charge le 17 juin 2018.
</p>
<p>
Debian 8 recevra une prise en charge à long terme pendant cinq ans après sa
publication initiale jusquâ??au 30 juin 2020. Les architectures concernées
incluent amd64, i386, armel et armhf.
</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1393.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à un déni de service.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1093";>CVE-2018-1093</a>

<p>Wen Xu a signalé qu'une image contrefaite de système de fichiers ext4
pourrait déclencher une lecture hors limites dans la fonction
ext4_valid_block_bitmap(). Un utilisateur local capable de monter des
systèmes de fichiers arbitraires pourrait utiliser cela pour un déni de
service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1130";>CVE-2018-1130</a>

<p>Le logiciel syzbot a trouvé que lâ??implémentation de DCCP de sendmsg() ne
vérifie pas lâ??état de socket, conduisant éventuellement à un déréférencement de
pointeur NULL. Un utilisateur local pourrait utiliser cela pour provoquer un
déni de service (plantage).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8897";>CVE-2018-8897</a>

<p>Nick Peterson de Everdox Tech LLC a découvert que les exceptions #DB qui
étaient différées par MOV SS ou POP SS n'étaient pas correctement gérées,
permettant à un utilisateur non privilégié de planter le noyau et de
provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10940";>CVE-2018-10940</a>

<p>Dan Carpenter a signalé que le pilote de disque optique (cdrom) ne validait
pas correctement le paramètre pour lâ??ioctl CDROM_MEDIA_CHANGED. Un utilisateur
ayant accès à un périphérique cdrom pourrait utiliser cela pour provoquer un
déni de service (plantage).</p></li>
</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.2.102-1. Cette version inclut aussi des corrections de bogue de la
version 3.2.102 amont, comprenant un correctif pour une régression dans
lâ??implémentation de SCTP pour la version 3.2.101.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1392.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans la bibliothèque libtiff et
les outils inclus qui pourrait aboutir à un déni de service:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11613";>CVE-2017-11613</a>

<p>Vulnérabilité de déni de service dans la fonction TIFFOpen. Une entrée
contrefaite peut conduire à une attaque par déni de service et peut aussi
planter le système ou déclencher le tueur OOM.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5784";>CVE-2018-5784</a>

<p>Consommation de ressources incontrôlée dans la fonction TIFFSetDirectory de
src/libtiff/tif_dir.c, qui peut causer un déni de service à lâ??aide dâ??un fichier
tif contrefait.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.0.2-6+deb7u21.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tiff.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1391.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le Qualys Research Labs a découvert plusieurs vulnérabilités dans procps, un
ensemble dâ??utilitaires en ligne de commande et en mode plein écran pour
parcourir procfs. Le projet « Common vulnérabilités et Exposures » (CVE)
identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1122";>CVE-2018-1122</a>

<p>top lisait sa configuration à partir du répertoire de travail courant si
aucun $HOME n'était configuré. Si top était lancé à partir d'un répertoire
accessible en écriture par l'attaquant (tel que /tmp), cela pouvait avoir
pour conséquence une augmentation de droits locale.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1123";>CVE-2018-1123</a>

<p>Un déni de service à l'encontre de l'invocation de ps par un autre
utilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1124";>CVE-2018-1124</a>

<p>Un dépassement d'entier dans la fonction file2strvec() de libprocps
pourrait avoir pour conséquence une augmentation de droits locale.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1125";>CVE-2018-1125</a>

<p>Un dépassement de pile dans pgrep pourrait avoir pour conséquence un
déni de service pour un utilisateur se servant de pgrep pour inspecter un
processus contrefait pour l'occasion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1126";>CVE-2018-1126</a>

<p>Des paramètres incorrects de taille d'entier utilisés dans des
enveloppes pour des allocateurs C standard pourraient provoquer une
troncature d'entier et mener à des problèmes de dépassement d'entier.</p></li>
</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:3.3.3.3+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets procps.</p>

<p>Lâ??équipe LTS de Debian souhaite remercier Abhijith PA pour la préparation de
cette mise à jour.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1390.data"
# $Id: $
Reply to: