[RFR] wml://lts/security/2019/dla-17{77-2,91,92,92-2,93,94,95,96,97}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="a9ca05c1d1949a2365e001488e969b21381af18a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans drupal7, une
plateforme PHP pour site web. Ces vulnérabilités affectent les versions
embarquées de la bibliothèque JavaScript jQuery et la bibliothèque dâ??enveloppe
de flux Phar de Typo3.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11358";>CVE-2019-11358</a>
<p>La version de jQuery embarqué dans Drupal était prédisposée à une
vulnérabilité de script intersite dans jQuery.extend().</p>
<p>Pour des informations supplémentaires, veuillez vous référez à lâ??annonce
amont sur <a href="https://www.drupal.org/sa-core-2019-006.";>https://www.drupal.org/sa-core-2019-006.</a></p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11831";>CVE-2019-11831</a>
<p>Un validation incomplète dans la bibliothèque de traitement Phar embarquée
dans Drupal, un cadriciel de gestion de contenu complet, pourrait aboutir Ã
une divulgation d'informations.</p>
<p>Pour des informations supplémentaires, veuillez vous référez à lâ??annonce
amont sur <a href="https://www.drupal.org/sa-core-2019-007.";>https://www.drupal.org/sa-core-2019-007.</a></p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 7.32-1+deb8u17.</p>
<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1797.data"
# $Id: $
#use wml::debian::translation-check translation="c5e34f22532513afbcd94966130dadbb32cfa806" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans jruby, une implémentation
en Java du langage de programmation Ruby.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000074";>CVE-2018-1000074</a>
<p>Vulnérabilité de désérialisation de données non sûre dans la commande
owner qui peut aboutir à lâ??exécution de code. Cette attaque apparait être
exploitable à lâ??aide de la victime devant exécuter la commande « gem owner »
dans un gem avec un fichier YAML contrefait pour lâ??occasion.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000075";>CVE-2018-1000075</a>
<p>Boucle infinie causée par une vulnérabilité de taille négative dans les
en-têtes tar de paquets gem de Ruby pouvant aboutir à une taille négative
et causer une boucle infinie.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000076";>CVE-2018-1000076</a>
<p>Vulnérabilité de vérification incorrecte de signature chiffrée dans
package.rb pouvant aboutir à un gem mal signé installé, car lâ??archive compressée
pourrait contenir plusieurs signatures de gem.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000077";>CVE-2018-1000077</a>
<p>Vulnérabilité de validation incorrecte dâ??entrée dans lâ??attribut de la page
dâ??accueil de la spécification RubyGems pouvant permettre à un gem malveillant
de définir une URL de page dâ??accueil non valable.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000078";>CVE-2018-1000078</a>
<p>Vulnérabilité de script intersite (XSS) dans lâ??affichage du serveur de gem
de lâ??attribut de page dâ??accueil. Cette attaque apparait être exploitable Ã
lâ??aide de la victime devant parcourir un gem malveillant sur un serveur gem
vulnérable.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8321";>CVE-2019-8321</a>
<p>Appels Gem::UserInteraction#verbose calls exprimés sans protection, une
injection de séquence dâ??échappement était possible.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8322";>CVE-2019-8322</a>
<p>La commande owner de gem affiche le contenu de la réponse de lâ??API
directement sur la sortie standard. Par conséquent, si la réponse est
contrefaite, une injection de séquence dâ??échappement peut se produire.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8323";>CVE-2019-8323</a>
<p>Gem::GemcutterUtilities#with_response peut afficher la réponse de lâ??API sur
la sortie standard telle quelle. Par conséquent, si le côté API modifie la
réponse, une injection de séquence dâ??échappement peut se produire.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8324";>CVE-2019-8324</a>
<p>Un gem contrefait avec un nom multi-ligne nâ??est pas géré correctement. Par
conséquent, un attaquant pourrait injecter du code arbitraire sur la ligne de
souche de gemspec, qui est eval-ué par du code dans ensure_loadable_spec lors
la vérification de préinstallation.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8325";>CVE-2019-8325</a>
<p>Gem::CommandManager#run appelle alert_error sans échappement, une injection de
séquence dâ??échappement est possible. (Il existe plusieurs façons de provoquer
cette erreur).</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.5.6-9+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets jruby.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1796.data"
# $Id: $
#use wml::debian::translation-check translation="8753221e322a5bd3df7ae5b05150e073d1f61042" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans graphicsmagick, la boîte Ã
outils de traitement dâ??image.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11473";>CVE-2019-11473</a>
<p>La fonction WriteMATLABImage (coders/mat.c) est sujette à un dépassement de
tampon basé sur le tas. Des attaquants distants peuvent exploiter cette
vulnérabilité pour provoquer un déni de service ou un autre impact non précisé
à lâ??aide de matrices contrefaites Matlab.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11474";>CVE-2019-11474</a>
<p>La fonction WritePDBImage (coders/pdb.c) est sujette à un dépassement de
tampon basé sur le tas. Des attaquants distants peuvent exploiter cette
vulnérabilité pour provoquer un déni de service ou un autre impact non précisé Ã
l'aide d'un fichier de base de données contrefait Palm.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11505";>CVE-2019-11505</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2019-11506";>CVE-2019-11506</a>
<p>Le XWD module (coders/xwd.c) est sujet à plusieurs dépassements de tampon
basé sur le tas et dâ??exceptions arithmétiques. Des attaquants distants peuvent
exploiter ces divers défauts pour provoquer un déni de service ou un autre
impact non précisé à lâ??aide de fichiers XWD contrefaits.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.3.20-3+deb8u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1795.data"
# $Id: $
#use wml::debian::translation-check translation="bdcfba5c4035f56414f261929b40aa26e1728881" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans libspring-security-2.0-java, un
cadriciel de sécurité dâ??application Java/J2EE, lors de lâ??utilisation de
SecureRandomFactoryBean#setSeed pour configurer une instance SecureRandom,
aboutissant à un caractère aléatoire non sûr.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 2.0.7.RELEASE-3+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libspring-security-2.0-java.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1794.data"
# $Id: $
#use wml::debian::translation-check translation="f1f78a23a2deadc2bb6eaf82e3e97f38f946bd3b" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de lecture hors limites dans le client de
protocole dhcpcd5 de gestion de réseau.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-11579";>CVE-2019-11579</a>
<p>dhcp.c dans dhcpcd avant 7.2.1 contenait une lecture hors limite dâ??un octet
avec DHO_OPTSOVERLOADED.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 6.0.5-2+deb8u1. Merci à Roy Marples <roy@marples.name>.</p>
<p>Nous vous recommandons de mettre à jour vos paquets dhcpcd5.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1793.data"
# $Id: $
#use wml::debian::translation-check translation="53ffad6ba2266561b8349237b22e1f493ecec1f0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise à jour pour ghostscript publiée sous DLA-1792-1 ne corrigeait pas un
problème dans cups-filters qui utilisait le <q>pdfdict</q> interne non documenté
de Ghostscript, désormais occulté dans la mise à jour de ghostscript. Des
paquets cups-filters sont désormais disponibles pour régler ce problème.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.0.61-5+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets cups-filters.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1792-2.data"
# $Id: $
#use wml::debian::translation-check translation="94269c80fc0e4f93a78017387b50b1088892a4eb" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans Ghostscript, l'interpréteur GPL de
PostScript et de PDF, qui peut avoir pour conséquence un déni de service ou
l'exécution de code arbitraire lors du traitement d'un fichier Postscript mal
formé (en dépit de l'activation de l'option -dSAFER du bac à sable).</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 9.26a~dfsg-0+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ghostscript.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1792.data"
# $Id: $
#use wml::debian::translation-check translation="d13363ce93c5ea649711349c7bb4683e342ede10" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans faad2, le Freeware Advanced Audio
Coder.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20194";>CVE-2018-20194</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2018-20197";>CVE-2018-20197</a>
<p>Un traitement incorrect de reconfiguration implicite de mappage de canaux
aboutit à plusieurs problèmes de dépassement de tampon basé sur le tas. Ces
défauts peuvent être exploités par des attaquants distants pour provoquer un
déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20198";>CVE-2018-20198</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2018-20362";>CVE-2018-20362</a>
<p>Une validation dâ??entrée utilisateur insuffisante dans le module sbr_hfadj
aboutit à des problèmes de dépassements de tampon basé sur la pile. Ces défauts
peuvent être exploités par des attaquants distants pour provoquer un déni de
service ou un autre impact non précisé.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2.7-8+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets faad2.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1791.data"
# $Id: $
#use wml::debian::translation-check translation="3acd4d2cb4fa56922e597634c42400ac09e3cdb5" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La bibliothèque jquery minimisée a été cassée dans la
version 1.7.2+dfsg-3.2+deb8u6 à cause dâ??une erreur durant la construction. Ce
problème a été corrigé dans la version 1.7.2+dfsg-3.2+deb8u7.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.7.2+dfsg-3.2+deb8u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets jquery.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1777-2.data"
# $Id: $
Reply to:
- Prev by Date:
[DONE] wml://security/2019/dsa-4438.wml
- Next by Date:
[LCFC] wml://lts/security/2018/dla-137{0..9}wml
- Previous by thread:
[DONE] wml://lts/security/2019/dla-17{81,82,88,89}.wml
- Next by thread:
Re: [RFR] wml://lts/security/2019/dla-17{77-2,91,92,92-2,93,94,95,96,97}.wml
- Index(es):