[RFR] wml://lts/security/2019/dla-19{07,38,41,42}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="44f9d84b9a8b38258b666e0fac486c8360528506" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Dans phpBB, includes/acp/acp_bbcodes.php vérifiait de manière incorrecte
le jeton CSRF dans la page des BBCode dans Administration Control Panel. Une attaque
CSRF réelle était possible si un attaquant réussissait à  récupérer lâ??identifiant
de session dâ??un administrateur réauthentifié avant de les cibler.</p>

<p>La description dans cette DLA ne correspond pas ce qui a été documenté dans
le fichier changelog.Debian.gz de cette version de paquet. Après la publication
de phpbb3 3.0.12-5+deb8u4, il est devenu évident que
<a href="https://security-tracker.debian.org/tracker/CVE-2019-13776";>CVE-2019-13776</a>
nâ??a pas été corrigé. Le correctif valable pour
<a href="https://security-tracker.debian.org/tracker/CVE-2019-13776";>CVE-2019-13776</a>
a été trouvé et sera fourni, dans un futur proche, dans un avenant de
publication de sécurité de phpbb3.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 3.0.12-5+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets phpbb3.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1942.data"
# $Id: $

#use wml::debian::translation-check translation="e354a4e0cbab3d6603e22e8dc282721ee6182369" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Netty gérait incorrectement lâ??espace avant le deux-points dans les en-têtes
HTTP (tels que la ligne « Transfer-Encoding : chunked »). Cela aboutit à un
trafic de requêtes HTTP.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1:3.2.6.Final-2+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets netty.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1941.data"
# $Id: $

#use wml::debian::translation-check translation="6ee8ef9e4520152e028933164f1faad6dfe0fb05" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Un problème a été découvert dans file-roller de GNOME avant 3.29.91. Il
permet une traversée de répertoires avec un unique ./../ à l'aide d'un nom de
fichier dans une archive TAR, éventuellement écrasant un fichier lors dâ??une
extraction.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 3.14.1-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets file-roller.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1938.data"
# $Id: $

#use wml::debian::translation-check translation="009930974fca60c0e0ce8720a502740e0e1b188e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs problèmes de sécurité ont été corrigés dans plusieurs
démultiplexeurs et décodeurs de la bibliothèque multimédia libav.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9987";>CVE-2017-9987</a>

<p>Dans Libav existait un dépassement de tampon basé sur le tas dans la fonction
hpel_motion dans mpegvideo_motion.c. Une entrée contrefaite pouvait conduire à 
attaque distante par déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5766";>CVE-2018-5766</a>

<p>Dans Libav existait un memcpy non valable dans la fonction av_paquet_ref de
libavcodec/avpaquet.c. Des attaquants distants pouvaient exploiter cette
vulnérabilité pour provoquer un déni de service (erreur de segmentation) à 
l'aide d'un fichier avi contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-11102";>CVE-2018-11102</a>

<p>Une violation dâ??accès en lecture dans la fonction mov_probe dans
libavformat/mov.c permettait à des attaquants distants de provoquer un déni de
service (plantage d'application), comme démontré par avconv.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14372";>CVE-2019-14372</a>

<p>Dans Libav existait une boucle infinie dans la fonction
wv_read_block_header() dans le fichier wvdec.c.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-14442";>CVE-2019-14442</a>

<p>Dans mpc8_read_header dans libavformat/mpc8.c, un fichier dâ??entrée pouvait
mener à  une boucle infinie et un plantage dâ??avio_seek, avec 100 % dâ??utilisation
du CPU. Des attaquants pouvaient exploiter cette vulnérabilité pour provoquer un
déni de service à l'aide d'un fichier contrefait.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 6:11.12-1~deb8u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libav.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1907.data"
# $Id: $