[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2018/dla-136{0..9}wml

Bonjour,

Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-13xx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-13xx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou une
fuite d'informations.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-0861";>CVE-2017-0861</a>

<p>Robb Glasser a signalé une potentielle utilisation de mémoire après
libération dans le cÅ?ur PCM (son) d'ALSA. Nous croyons que cela n'est pas
possible dans la pratique.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5715";>CVE-2017-5715</a>

<p>Plusieurs chercheurs ont découvert une vulnérabilité dans divers
processeurs prenant en charge l'exécution spéculative, permettant à un
attaquant contrôlant un processus non privilégié de lire la mémoire à
partir d'adresses arbitraires, y compris à partir du noyau et de tous les
autres processus exécutés dans le système.</p>

<p>Cette attaque particulière a été nommée Spectre variante 2 (« branch
target injection ») et elle est palliée pour l'architecture Intel x86
(amd64 et i386) en utilisant la fonction de compilateur « retpoline » qui
permet d'isoler les branches indirectes des exécutions spéculatives.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-13166";>CVE-2017-13166</a>

<p>Un bogue a été découvert dans la couche de compatibilité 32 bits du code
de traitement IOCTL v4l2. Les protections de la mémoire assurant que les
tampons fournis par l'utilisateur pointaient toujours vers la mémoire de
l'espace utilisateur étaient désactivées, permettant que l'adresse de
destination soit dans l'espace du noyau. Sur un noyau 64 bits, un
utilisateur local doté d'un accès à un périphérique vidéo adéquat peut
exploiter cela pour écraser la mémoire du noyau, menant à une augmentation
de droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16526";>CVE-2017-16526</a>

<p>Andrey Konovalov a signalé que le sous-système UWB peut déréférencer un
pointeur non valable en cas d'erreur. Un utilisateur local pourrait être
capable d'utiliser cela pour un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16911";>CVE-2017-16911</a>

<p>Andrey Konovalov a signalé que le sous-système UWB peut déréférencer un
pointeur non valable en cas d'erreur. Un utilisateur local pourrait être
capable d'utiliser cela pour un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16912";>CVE-2017-16912</a>

<p>Secunia Research a signalé que le pilote restreint USB/IP échouait à
réaliser une vérification d'intervalle sur le champ d'en-tête d'un paquet
reçu, menant à une lecture hors limites. Un utilisateur distant capable de
se connecter au serveur USB/IP pourrait utiliser cela pour un déni de
service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16913";>CVE-2017-16913</a>

<p>Secunia Research a signalé que le pilote restreint USB/IP échouait à
réaliser une vérification d'intervalle sur le champ d'en-tête d'un paquet
reçu, menant à une allocation excessive de mémoire. Un utilisateur distant
capable de se connecter au serveur USB/IP pourrait utiliser cela pour un
déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16914";>CVE-2017-16914</a>

<p>Secunia Research a signalé que le pilote restreint USB/IP échouait à
réaliser une vérification d'intervalle sur le champ d'en-tête d'un paquet
reçu, menant à une allocation excessive de mémoire. Un utilisateur distant
capable de se connecter au serveur USB/IP pourrait utiliser cela pour un
déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18017";>CVE-2017-18017</a>

<p>Denys Fedoryshchenko a signalé que le module xt_TCPMSS de netfilter
échouait à valider la longueur des en-têtes TCP, menant éventuellement à
une utilisation de mémoire après libération. Si ce module est chargé, il
pourrait être utilisé par un attaquant distant pour un déni de service ou
éventuellement pour l'exécution de code.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18203";>CVE-2017-18203</a>

<p>Hou Tao a signalé qu'il y avait une situation de compétition dans la
création et la suppression de périphériques « device-mapper » (DM). Un
utilisateur local pourrait éventuellement utiliser cela pour un déni de
service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18216";>CVE-2017-18216</a>

<p>Alex Chen a signalé que le système de fichiers OCFS2 échouait à
maintenir un verrou nécessaire durant les opérations de fichier de
nodemanager de sysfs, menant éventuellement à un déréférencement de pointeur
NULL. Un utilisateur local pourrait utiliser cela pour un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1068";>CVE-2018-1068</a>

<p>L'outil syzkaller a découvert que la couche de compatibilité 32 bits
d'ebtables ne validait pas suffisamment les valeurs de décalage. Dans un
noyau 64 bits, un utilisateur local doté de la capacité CAP_NET_ADMIN (dans
n'importe quel espace de noms) pourrait utiliser cela pour écraser la
mémoire du noyau, menant éventuellement à une augmentation de droits.
Debian désactive par défaut les espaces de noms d'utilisateur non
privilégié.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1092";>CVE-2018-1092</a>

<p>Wen Xu a signalé qu'une image contrefaite de système de fichiers ext4
pourrait déclencher un déréférencement de pointer NULL lors de son montage.
Un utilisateur local capable de monter des systèmes de fichiers arbitraires
pourrait utiliser cela pour un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5332";>CVE-2018-5332</a>

<p>Mohamed Ghannam a signalé que le protocole RDS ne validait pas
suffisamment les requêtes RDMA, menant à une écriture hors limites. Un
attaquant local sur un système avec le module rds chargé pourrait utiliser
cela pour un déni de service ou éventuellement pour une augmentation de
droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5333";>CVE-2018-5333</a>

<p>Mohamed Ghannam a signalé que le protocole RDS ne gérait pas
correctement un cas d'erreur, menant à un déréférencement de pointeur
NULL. Un attaquant local sur un système avec le module rds chargé pourrait
utiliser éventuellement cela pour un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5750";>CVE-2018-5750</a>

<p>Wang Qize a signalé que le pilote sbshc d'ACPI enregistrait une adresse
de pile du noyau. Cette information pourrait aider à l'exploitation
d'autres vulnérabilités.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5803";>CVE-2018-5803</a>

<p>Alexey Kodanev a signalé que le protocole SCTP ne vérifie pas
l'intervalle de longueur des morceaux à créer. Un utilisateur local ou
distant pourrait utiliser cela pour provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6927";>CVE-2018-6927</a>

<p>Li Jinyue a signalé que l'opération FUTEX_REQUEUE sur les futex ne
vérifiait pas les valeurs négatives de paramètres, ce qui pourrait mener à
un déni de service ou un autre impact de sécurité.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7492";>CVE-2018-7492</a>

<p>L'outil syzkaller a découvert que le protocole RDS manquait de
vérification de pointeur NULL. Un attaquant local sur un système avec le
module rds chargé pourrait utiliser cela pour un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7566";>CVE-2018-7566</a>

<p>Fan LongFei a signalé une situation de compétition dans le cÅ?ur du
séquenceur (son) d'ALSA, entre l'écriture et les opérations d'ioctl. Cela
pourrait conduire à un accès hors limites ou à une utilisation de mémoire
après libération. Un utilisateur local doté de l'accès à un périphérique de
séquenceur pourrait utiliser cela pour un déni de service ou éventuellement
pour une augmentation de droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7740";>CVE-2018-7740</a>

<p>Nic Losby a signalé que l'opération de l'appel mmap du système de
fichiers hugetlbfs ne vérifiait pas correctement l'intervalle de position
d'un fichier. Un utilisateur local doté de l'accès aux fichiers dans un
système de fichiers hugetlbfs pourrait utiliser cela pour provoquer un déni
de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7757";>CVE-2018-7757</a>

<p>Jason Yan a signalé une fuite de mémoire dans le sous-système SAS
(Serial-Attached SCSI). Un utilisateur local dans un système avec des
périphériques SAS pourrait utiliser cela pour provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7995";>CVE-2018-7995</a>

<p>Seunghun Han a signalé une situation de compétition dans le pilote MCE
(Machine Check Exception) x86. Il est peu probable que cela ait un impact
de sécurité.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8781";>CVE-2018-8781</a>

<p>Eyal Itkin a signalé que l'opération de l'appel mmap du pilote udl
(DisplayLink) ne vérifiait pas correctement l'intervalle de position d'un
fichier. Un utilisateur local doté de l'accès à un périphérique de mémoire
vidéo (« framebuffer ») udl pourrait exploiter cela pour écraser la mémoire
du noyau, menant à une augmentation de droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8822";>CVE-2018-8822</a>

<p>Dr Silvio Cesare de InfoSect a signalé que l'implémentation du client
ncpfs ne validait pas la longueur des réponses du serveur. Un serveur ncpfs
pourrait utiliser cela pour provoquer un déni de service ou l'exécution
distante de code dans le client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000004";>CVE-2018-1000004</a>

<p>Luo Quan a signalé une situation de compétition dans le cÅ?ur du
séquenceur (son) d'ALSA, entre plusieurs opérations d'ioctl. Cela pourrait
conduire à un blocage ou à une utilisation de mémoire après libération. Un
utilisateur local doté de l'accès à un périphérique de séquenceur pourrait
utiliser cela pour un déni de service ou éventuellement pour une
augmentation de droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000199";>CVE-2018-1000199</a>

<p>Andy Lutomirski a découvert que le sous-système ptrace ne validait pas
suffisamment les réglages des points d'arrêt matériels. Des utilisateurs
locaux peuvent utiliser cela pour provoquer un déni de service, ou
éventuellement une augmentation de droits, sur l'architecture x86 (amd64 et
i386) et éventuellement d'autres architectures.</p></li>

</ul>

<p>De plus, quelques atténuations pour
<a href="https://security-tracker.debian.org/tracker/CVE-2017-5753";>CVE-2017-5753</a>
sont incluses dans cette publication.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5753";>CVE-2017-5753</a>

<p>Plusieurs chercheurs ont découvert une vulnérabilité dans divers
processeurs prenant en charge l'exécution spéculative, permettant à un
attaquant contrôlant un processus non privilégié de lire la mémoire à
partir d'adresses arbitraires, y compris à partir du noyau et de tous les
autres processus exécutés dans le système.</p>

<p>Cette attaque particulière a été nommée Spectre variante 1
(contournement de vérification de limites) et est palliée en identifiant
des sections de code vulnérables (vérification de limites de tableau suivie
par un accès au tableau) et en remplaçant l'accès au tableau par la
fonction array_index_nospec() sûre du point de vue de l'exécution
spéculative.</p>

<p>Davantage d'emplacements d'utilisation seront ajoutés avec le temps.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.2.101-1. Cette version inclut aussi des corrections de bogues à
partir de versions amont jusquâ??à la version 3.2.101 incluse. Il corrige une
régression dans lâ??option hidepid de procfs dans la version précédente (bogue
n° 887106 de Debian).</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1369.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>De graves vulnérabilités ont été trouvés dans la bibliothèque libvorbis,
utilisée couramment pour encoder et décoder lâ??audio dans des conteneurs OGG.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14633";>CVE-2017-14633</a>

<p>Dans libvorbis 1.3.5 de Xiph.Org, une vulnérabilité de lecture hors limites
de tableau existe dans la fonction mapping0_forward() dans mapping0.c, qui
pourrait conduire à un déni de service lors du traitement dâ??un fichier audio
contrefait avec vorbis_analysis().</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14632";>CVE-2017-14632</a>

<p>libvorbis 1.3.5 de Xiph.Org permet lâ??exécution de code à distance lors de la
libération de mémoire non initialisée dans la fonction vorbis_analysis_headerout()
dans info.c quand vi->channels<=0, un problème similaire au bogue n°550184 de
Mozilla.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11333";>CVE-2017-11333</a>

<p>La fonction vorbis_analysis_wrote dans lib/block.c dans libvorbis 1.3.5 de
Xiph.Org permet à des attaquants distants de provoquer un déni de service (OOM)
à l'aide d'un fichier wav contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5146";>CVE-2018-5146</a>

<p>Une écriture hors limites de mémoire dans le code dâ??analyse de codebook de
la bibliothèque multimédia Libvorbis pourrait aboutir à l'exécution de code
arbitraire.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.3.2-1.3+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libvorbis.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1368.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7033";>CVE-2018-7033</a>
<p>Une problème qui pourrait être utilisé pour des attaques par injection SQL
sur SlurmDBD a été corrigé.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.3.4-2+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets slurm-llnl.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1367.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans wordpress, un outil de blog.
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes
suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10100";>CVE-2018-10100</a>

<p>La redirection dâ??URL pour la page de connexion nâ??était pas validée ou
vérifiée si lâ??utilisation dâ??HTTPS était forcée.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10102";>CVE-2018-10102</a>

<p>La chaîne de version nâ??était pas protégée dans la fonction get_the_generator,
et pourrait conduire à un script intersite (XSS) dans une balise « generator ».</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.6.1+dfsg-1~deb7u21.</p>
<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1366.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>une vulnérabilité dâ??exécution de code à distance a été découverte dans
plusieurs sous-systèmes de Drupal. Cela permet éventuellement à des attaquants
dâ??exploiter plusieurs vecteurs dâ??attaque sur un site Drupal pouvant aboutir à la
compromission du site.</p>


<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 7.14-2+deb7u19.</p>
<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1365.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17833";>CVE-2017-17833</a>

<p>Un problème a été découvert dans openslp, relatif à une corruption de mémoire
de tas, qui pourrait aboutir à un déni de service ou une exécution de code à
distance.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.2.1-9+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openslp-dfsg.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1364.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La fonction set_text_distance dans base/gdevpdts.c dans le composant pdfwrite
de Ghostscript nâ??évite pas les débordements dans le calcul de position de texte.
Cela permet des attaquants distants de provoquer un déni de service (plantage
d'application) ou éventuellement dâ??avoir un impact non précisé à l'aide d'un
document PDF contrefait.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 9.05~dfsg-6.3+deb7u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ghostscript.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1363.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>GCC 4.9 a été empaqueté sous gcc-4.9-backport pour Debian 7. Ce paquet sera
nécessaire pour les mises à jour futures de Linux, et éventuellement dâ??autres
paquets, pour implémenter la mitigation de <q>retpoline</q> pour
<a href="https://security-tracker.debian.org/tracker/CVE-2017-5715";>CVE-2017-5715</a>
(Spectre variant 2).</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

<p> Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été résolus dans la
version 4.9.2-10+deb7u de gcc-4.9-backport.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1362.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>psensor, un serveur pour le contrôle à distance de capteurs de matériel, était
prédisposé à une vulnérabilité de traversée de répertoires à cause de la fonction
create_response dans server/server.c nâ??ayant pas de vérification pour savoir si
un fichier était dans un répertoire du serveur web.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.6.2.17-2+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets psensor.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1361.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité dâ??expansion dâ??entité XML (XXE) dans lucene-solr,
une bibliothèque de moteur de recherche pour Java.</p>

<p>Elle pourrait être exploitée pour lire des fichiers locaux arbitraires du
serveur Solr ou du réseau interne.</p>

<p> Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé
dans lucene-solr version 3.6.0+dfsg-1+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets lucene-solr.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1360.data"
# $Id: $
Reply to: