[RFR] wml://lts/security/2018/dla-133{0..9}wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-13xx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-13xx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation
de la plateforme Java dâ??Oracle, aboutissant à  un déni de service, un accès non
autorisé, un contournement du bac à  sable ou une injection dâ??en-tête HTTP.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 7u171-2.6.13-1~deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openjdk-7.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1339.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité dâ??élévation des privilèges dans beep, un
<q>avertisseur moderne pour haut-parleur dâ??ordinateur</q>.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.3-3+deb7u1 de beep.</p>

<p>Nous vous recommandons de mettre à jour vos paquets beep.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1338.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été trouvées dans le cadriciel de gestion de
paquets rubygems, incorporé dans JRuby, une implémentation en Java pur du
langage de programmation Ruby.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000075";>CVE-2018-1000075</a>

<p>Une vulnérabilité de taille négative dans lâ??en-tête Ruby dâ??archive de paquet
gem pourrait causer une boucle infinie.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000076";>CVE-2018-1000076</a>

<p>Le paquet gems de Raby ne vérifie pas correctement les signatures chiffrées.
Un gem de signature incorrecte pourrait être installé si lâ??archive contient
plusieurs signatures gem.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000077";>CVE-2018-1000077</a>

<p>Une vulnérabilité de validation incorrecte dans lâ??attribut de la page
dâ??accueil de la spécification gems de Ruby pourrait permettre à  un gem
malveillant de définir une URL de page dâ??accueil non valable.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000078";>CVE-2018-1000078</a>

<p>Une vulnérabilité de script intersite (XSS) dans lâ??affichage du serveur gem
de lâ??attribut de page dâ??accueil.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.5.6-5+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets jruby.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1337.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été trouvés dans rubygems, paquets a cadriciel management
for Ruby. </p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000075";>CVE-2018-1000075</a>

<p>Une vulnérabilité de taille négative dans lâ??en-tête Ruby dâ??archive de paquet
gem pourrait causer une boucle infinie.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000076";>CVE-2018-1000076</a>

<p>Le paquet gems de Raby ne vérifie pas correctement les signatures chiffrées.
Un gem de signature incorrecte pourrait être installé si lâ??archive contient
plusieurs signatures gem.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000077";>CVE-2018-1000077</a>

<p>Une vulnérabilité de validation incorrecte dans lâ??attribut de la page
dâ??accueil de la spécification gems de Ruby pourrait permettre à  un gem
malveillant de définir une URL de page dâ??accueil non valable.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000078";>CVE-2018-1000078</a>

<p>Une vulnérabilité de script intersite (XSS) dans lâ??affichage du serveur gem
de lâ??attribut de page dâ??accueil.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.8.24-1+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets rubygems.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1336.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans Z shell.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1071";>CVE-2018-1071</a>

<p>Dépassement de pile dans la fonction exec.c:hashcmd(). Un attaquant local
pourrait exploiter cela pour provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1083";>CVE-2018-1083</a>

<p>Dépassement de tampon dans la fonction autocomplete de lâ??interpréteur. Un
utilisateur local non privilégié peut créer un chemin de répertoire contrefait
pour l'occasion qui pourrait aboutir à une exécution de code dans le contexte
de lâ??utilisateur voulant autocompléter pour traverser le chemin sus-mentionné.
Si lâ??utilisateur à  des privilèges, cela conduit à  une élévation des privilèges.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.3.17-1+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets zsh.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1335.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7651";>CVE-2017-7651</a>
<p>Un paquet CONNECT contrefait dâ??un client non authentifié pourrait aboutir à 
une consommation extraordinaire de mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7652";>CVE-2017-7652</a>

<p>Dans le cas où tous les sockets ou descripteurs de fichier seraient épuisés,
un signal SIGHUP pour recharger la configuration pourrait aboutir dans les
valeurs de configuration par défaut (particulièrement dans de mauvais réglages
de sécurité).</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.15-2+deb7u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mosquitto.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1334.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans le serveur de courrier
électronique Dovecot. Le projet « Common Vulnerabilities and Exposures »
(CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14461";>CVE-2017-14461</a>

<p>Aleksandar Nikolic de Cisco Talos et <q>flxflndy</q> ont découvert que
Dovecot n'analysait pas correctement les adresses de courrier électronique
non valables, ce qui peut provoquer un plantage ou la divulgation de
contenus de mémoire à un attaquant.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15130";>CVE-2017-15130</a>

<p>Les recherches de configuration TLS SNI pourraient conduire à une
utilisation de la mémoire excessive, faisant que la limite de la VSZ de
imap-login/pop3-login soit atteinte et que le processus redémarre, avec
pour conséquence un déni de service. Seules les configurations de Dovecot
contenant les blocs de configuration <code>local_name { }</code> ou
<code>local { }</code> sont affectées.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15132";>CVE-2017-15132</a>

<p>Dovecot renferme un défaut de fuite de mémoire dans le processus de
connexion lors d'une authentification SASL interrompue.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:2.1.7-7+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets dovecot.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1333.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>libvncserver jusquâ??à  la version 0.9.11 ne vérifiait pas msg.cct.length, ce
qui pouvait aboutir à un accès non initialisé et éventuellement à des données
sensibles, ou éventuellement avoir un autre impact non précisé (par exemple,
un dépassement d'entier) à  lâ??aide de paquets VNC contrefaits pour l'occasion.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.9.9+dfsg-1+deb7u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libvncserver.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1332.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Mercurial, versions 4.5 et précédentes, contient une vulnérabilité de contrôle
dâ??accès incorrect (CWE-285) dans le serveur de protocole qui peut aboutir à  un
accès non autorisé de données. Cette attaque semble exploitable à  lâ??aide dâ??une
connexion réseau. Cette vulnérabilité semble avoir été corrigée dans la
version 4.5.1.</p>

<p>Cette mise à jour corrige aussi une régression introduite dans la
version 2.2.2-4+deb7u5 qui fait que la suite de tests échoue de manière non
déterministe.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.2.2-4+deb7u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mercurial.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1331.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les types ASN.1 construits avec une définition récursive pourraient
dépasser la taille de la pile, menant éventuellement à un déni de service.</p>

<p>Plus de détails sont disponibles dans l'annonce amont :
<a href="https://www.openssl.org/news/secadv/20180327.txt";>https://www.openssl.org/news/secadv/20180327.txt</a></p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.0.1t-1+deb7u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1330.data"
# $Id: $