[RFR] wml://lts/security/2018/dla-135{0..9}wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-13xx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-13xx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été trouvées dans lâ??interpréteur pour le langage Ruby.

Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17742";>CVE-2017-17742</a>

<p>Aaron Patterson a signalé que WEBrick empaqueté avec Ruby était vulnérable à 
une vulnérabilité de fractionnement de réponse HTTP. Il était possible pour un
attaquant dâ??injecter des réponses fausses si un script acceptait une entrée
externe et la sortait sans modification.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6914";>CVE-2018-6914</a>

<p>ooooooo_q a découvert une vulnérabilité de traversée de répertoires dans la
méthode Dir.mktmpdir de la bibliothèque tmpdir. Elle rendait possible à des
attaquants de créer des répertoires ou fichiers arbitraires l'aide d'un « .. »
(point point) dans lâ??argument du préfixe.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8777";>CVE-2018-8777</a>

<p>Eric Wong a signalé une vulnérabilité de déni de service par épuisement de
mémoire, relative à une large requête dans WEBrick empaqueté avec Ruby.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8778";>CVE-2018-8778</a>

<p>aerodudrizzt a trouvé une vulnérabilité de lecture hors limites dans la
méthode String#unpack de Ruby. Si un grand nombre était passé avec le
spécificateur @, le nombre était traité comme une valeur négative et une lecture
hors limite se produisait. Des attaquants pourraient lire des données de tas
si un script acceptait une entrée externe comme argument de String#unpack.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8779";>CVE-2018-8779</a>

<p>ooooooo_q a signalé que les méthodes UNIXServer.open et UNIXSocket.open de la
bibliothèque de socket empaquetée avec Ruby ne vérifiait pas pour des octets NUL
dans lâ??argument du chemin. Le manque de vérification rend les méthodes
vulnérables à  la création involontaire de socket et à  lâ??accès involontaire de
socket.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8780";>CVE-2018-8780</a>

<p>ooooooo_q a découvert une traversée de répertoires involontaire dans quelques
méthodes dans Dir, à cause du manque de vérification pour des octets NUL dans
leurs paramètres.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.8.7.358-7.1+deb7u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ruby1.8.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1359.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été trouvés dans lâ??interpréteur pour le langage Ruby.

Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17742";>CVE-2017-17742</a>

<p>Aaron Patterson a signalé que WEBrick empaqueté avec Ruby était vulnérable à 
une vulnérabilité de fractionnement de réponse HTTP. Il était possible pour un
attaquant dâ??injecter des réponses fausses si un script acceptait une entrée
externe et la sortait sans modification.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6914";>CVE-2018-6914</a>

<p>ooooooo_q a découvert une vulnérabilité de traversée de répertoires dans la
méthode Dir.mktmpdir de la bibliothèque tmpdir. Elle rendait possible à des
attaquants de créer des répertoires ou fichiers arbitraires l'aide d'un « .. »
(point point) dans lâ??argument du préfixe.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8777";>CVE-2018-8777</a>

<p>Eric Wong a signalé une vulnérabilité de déni de service par épuisement de
mémoire, relative à une large requête dans WEBrick empaqueté avec Ruby.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8778";>CVE-2018-8778</a>

<p>aerodudrizzt a trouvé une vulnérabilité de lecture hors limites dans la
méthode String#unpack de Ruby. Si un grand nombre était passé avec le
spécificateur @, le nombre était traité comme une valeur négative et une lecture
hors limite se produisait. Des attaquants pourraient lire des données de tas
si un script acceptait une entrée externe comme argument de String#unpack.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8779";>CVE-2018-8779</a>

<p>ooooooo_q a signalé que les méthodes UNIXServer.open et UNIXSocket.open de la
bibliothèque de socket empaquetée avec Ruby ne vérifiait pas pour des octets NUL
dans lâ??argument du chemin. Le manque de vérification rend les méthodes
vulnérables à  la création involontaire de socket et à  lâ??accès involontaire de
socket.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8780";>CVE-2018-8780</a>

<p>ooooooo_q a découvert une traversée de répertoires involontaire dans quelques
méthodes dans Dir, à cause du manque de vérification pour des octets NUL dans
leurs paramètres.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000075";>CVE-2018-1000075</a>

<p>Vulnérabilité de taille négative dans lâ??en-tête de paquet gem ruby pouvant
causer une boucle infinie.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000076";>CVE-2018-1000076</a>

<p>Le paquet RubyGems vérifie improprement les signatures chiffrées. Un gem
signé incorrectement pourrait être installé si lâ??archive contient plusieurs
signatures de gem.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000077";>CVE-2018-1000077</a>

<p>Vulnérabilité de validation incorrecte dâ??entrée dans lâ??attribut de la page
dâ??accueil de la spécification RubyGems pouvant permettre à  un gem malveillant
de définir une URL de page dâ??accueil non valable.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000078";>CVE-2018-1000078</a>

<p>Vulnérabilité de script intersite (XSS) dans lâ??affichage du serveur de gem
de lâ??attribut de page dâ??accueil.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.9.3.194-8.1+deb7u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ruby1.9.1.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1358.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait un problème dans le serveur HTTP gunicorn HTTP pour les applications
de Python où des séquences CRLF pourraient aboutir à un attaquant trompant le
serveur en renvoyant des en-têtes arbitraires.</p>

<p>Pour plus dâ??informations et de contexte, veuillez consulter :</p>

<p><url "https://epadillas.github.io/2018/04/02/http-header-splitting-in-gunicorn-19.4.5";></p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été résolus dans la
version 0.14.5-3+deb7u2 de gunicorn.</p>

<p>Nous vous recommandons de mettre à jour vos paquets gunicorn.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1357.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Ã? lâ??aide de tests (fuzzing), le projet OSS-Fuzz a trouvé deux problèmes de
sécurité de la mémoire dans LibreOffice, qui pourraient aboutir à un plantage
d'application ou éventuellement à un autre impact non précisé.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:3.5.4+dfsg2-0+deb7u11.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libreoffice.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1356.data"
# $Id: $

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans le serveur de bases de
données MySQL. Les vulnérabilités sont corrigées en mettant MySQL à niveau
vers la nouvelle version amont 5.5.60 qui comprend d'autres changements.
Veuillez consulter les notes de publication de MySQLÂ 5.5 et les annonces de
mises à jour critiques d'Oracle pour de plus amples détails :</p>

<ul>
 <li><url "https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-60.html";></li>
 <li><a href="http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html";>http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html</a></li>
</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 5.5.60-0+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mysql-5.5.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1355.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été trouvés dans la bibliothèque OpenCV, <q>Open
Computer Vision</q>.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5268";>CVE-2018-5268</a>

<p>Dans OpenCV 3.3.1, un dépassement de tampon basé sur le tas se produit dans
cv::Jpeg2KDecoder::readComponent8u dans modules/imgcodecs/src/grfmt_jpeg2000.cpp
lors de lâ??analyse dâ??un fichier dâ??image contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5269";>CVE-2018-5269</a>

<p>Dans OpenCV 3.3.1, un échec dâ??assertion se produit dans cv::RBaseStream::setPos
dans modules/imgcodecs/src/bitstrm.cpp à  cause dâ??un forçage de type entier
incorrect.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.3.1-11+deb7u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets opencv.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1354.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Wireshark, un analyseur de protocole réseau, contenait plusieurs vulnérabilités
qui pouvaient aboutir à  une boucle infinie dans différents dissecteurs. Dâ??autres
problèmes sont relatifs aux plantages dans des dissecteurs qui pourraient être
causés par des paquets spécialement contrefaits et malformés.</p>


<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.12.1+g01b65bf-4+deb8u6~deb7u10.</p>
<p>Nous vous recommandons de mettre à jour vos paquets wireshark.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1353.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de désérialisation dâ??objet a été découverte dans jruby, une
implémentation 100 % Java de Ruby. Un attaquant peut utiliser ce défaut pour
exécuter du code arbitraire quand un exploitant de gem est exécuté sur un
fichier YAML spécialement contrefait.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.5.6-5+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets jruby.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1352.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La fonction load_multiboot dans hw/i386/multiboot.c dans Quick Emulator
(c'est-à -dire QEMU) permet aux utilisateurs de lâ??OS invité dâ??exécuter du code
arbitraire sur lâ??hôte QEMU à  l'aide d'une valeur mh_load_end_addr supérieure à 
mh_bss_end_addr, ce qui déclenche une lecture hors limites ou un accès en
écriture de la mémoire.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.1.2+dfsg-6+deb7u25.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1351.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La fonction load_multiboot dans hw/i386/multiboot.c dans Quick Emulator
(c'est-à -dire QEMU) permet aux utilisateurs de lâ??OS invité dâ??exécuter du code
arbitraire sur lâ??hôte QEMU à  l'aide d'une valeur mh_load_end_addr supérieure à 
mh_bss_end_addr, ce qui déclenche une lecture hors limites ou un accès en
écriture de la mémoire.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.1.2+dfsg-6+deb7u25.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1350.data"
# $Id: $