[RFR] wml://lts/security/2018/dla-1{326,414-2,422-2,437-2,442-2}.wml
Bonjour,
Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Wei Lei et Liu Yang de Nanyang Technological University ont découvert un
dépassement de pile dans PHP5 lors de lâ??analyse dâ??une réponse HTTP mal formée
qui peut être exploité pour provoquer un déni de service.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 5.4.45-0+deb7u13.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1326.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le correctif pour lâ??exécution arbitraire de code, documenté dans
<a href="https://security-tracker.debian.org/tracker/CVE-2017-17458";>CVE-2017-17458</a>,
était incomplet dans la publication précédente. Une modification plus complète
a été implémentée en amont et désactive entièrement les sous-répertoires non
Mercurial à moins que les utilisateurs modifient le réglage de subrepos.allowed.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 3.1.2-2+deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mercurial.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1414-2.data"
# $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise à jour précédente de linux échouait dans la construction pour
lâ??architecture armhf (ARM EABI hard-float). Cette mise à jour corrige cela. Pour
toutes les autres architectures, il est nul besoin de mise à niveau ou de
redémarrage. Ã? titre indicatif, la partie concernée de lâ??annonce originale est
la suivante.</p>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou une
fuite d'informations.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5715";>CVE-2017-5715</a>
<p>Plusieurs chercheurs ont découvert une vulnérabilité dans divers
processeurs prenant en charge l'exécution spéculative, permettant à un
attaquant contrôlant un processus non privilégié de lire la mémoire Ã
partir d'adresses arbitraires, y compris à partir du noyau et de tous les
autres processus exécutés dans le système.</p>
<p>Cette attaque particulière a été nommée Spectre variante 2 (« branch
target injection ») et elle est palliée pour l'architecture Intel x86
(amd64 et i386) en utilisant de nouvelles fonctions dans le microcode.</p>
<p>Cette mitigation nécessite une mise à jour du microcode du processeur qui
nâ??est pas libre. Pour les processeurs récents dâ??Intel, cela est inclus dans le
paquet intel-microcode à partir de la version 3.20180425.1~deb8u1. Pour les
autres processeurs, cela pourrait être inclus dans une mise à jour du BIOS du
système ou du micrologiciel UEFI, ou dans une mise à jour future du paquet
amd64-microcode.</p>
<p>Cette vulnérabilité a déjà été mitigée pour lâ??architecture x86 avec la
fonction <q>retpoline</q>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5753";>CVE-2017-5753</a>
<p>De nouvelles instances de code vulnérables à Spectre variante 1
(contournement de vérification de limites) ont été mitigées.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1066";>CVE-2018-1066</a>
<p>Dan Aloni a signalé à Red Hat que lâ??implémentation du client CIFS pourrait
déréférencer un pointeur NULL si le serveur renvoie une réponse non valable lors
du réglage de la négociation NTLMSSP. Cela pourrait être utilisé par un serveur
malveillant pour un déni de service.</p>
<p>La mitigation appliquée précédemment nâ??était pas appropriée pour Linux 3.16
et a été remplacée par un correctif alternatif.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1093";>CVE-2018-1093</a>
<p>Wen Xu a signalé quâ??une image de système de fichiers ext4 contrefaite
pourrait déclencher une lecture hors limites dans la fonction
ext4_valid_block_bitmap(). Un utilisateur local capable de monter des systèmes
de fichiers arbitraires pourrait utiliser cela pour un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1130";>CVE-2018-1130</a>
<p>Le logiciel syzbot a trouvé que lâ??implémentation de DCCP de sendmsg() ne
vérifie pas lâ??état de socket, conduisant éventuellement à un déréférencement de
pointeur NULL. Un utilisateur local pourrait utiliser cela pour provoquer un
déni de service (plantage).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-3665";>CVE-2018-3665</a>
<p>Plusieurs chercheurs ont découvert que quelques processeurs x86 dâ??Intel
peuvent de manière spéculative lire des registres floating-point et vector même
si lâ??accès à ces registres est désactivé. La fonction du noyau Linux
<q>lazy FPU</q> repose sur ce contrôle dâ??accès pour éviter lâ??enregistrement et
la restitution de ces registres pour des tâches ne les utilisant pas, et était
activée par défaut pour les processeurs x86 qui ne prennent pas en charge
lâ??instruction XSAVEOPT.</p>
<p>Si <q>lazy FPU</q> est activé sur un des processeurs affectés, un attaquant
contrôlant un processus non privilégié peut être capable de lire des
informations sensibles de processus dâ??autres utilisateurs ou du noyau. Cela
affecte particulièrement les processeurs basés sur les conceptions de cÅ?ur
<q>Nehalem</q> et <q>Westemere</q>.
Ce problème a été mitigé en désactivant <q>lazy FPU</q> par défaut sur tous les
processeurs x86 prenant en charge les instructions FXSAVE et FXRSTOR. Cela
inclut tous les processeurs connus comme étant affectés et la plupart des
processeurs réalisant lâ??exécution spéculative. Il peut être aussi mitigé en
ajoutant le paramètre de noyau : eagerfpu=on.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5814";>CVE-2018-5814</a>
<p>Jakub Jirasek a signalé une situation de compétition dans le pilote hôte
USB/IP. Un client malveillant pourrait utiliser cela pour provoquer un déni de
service (plantage ou corruption de mémoire), et éventuellement exécuter du
code, sur le serveur USB/IP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-9422";>CVE-2018-9422</a>
<p>Il a été signalé que lâ??appel système futex() pourrait être utilisé par
un utilisateur non privilégié pour une augmentation de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10853";>CVE-2018-10853</a>
<p>Andy Lutomirski et Mika Penttilä ont signalé que KVM pour les processeurs x86
ne réalisait pas la vérification de privilèges nécessaires lors de de lâ??émulation
de certaines instructions. Cela pourrait être utilisé par un utilisateur non
privilégié dans une VM de système invité pour augmenter ses droits dans le
système invité.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10940";>CVE-2018-10940</a>
<p>Dan Carpenter a signalé que le pilote de disque optique (cdrom) ne validait
pas correctement le parametre pour lâ??ioctl CDROM_MEDIA_CHANGED. Un utilisateur
ayant accès à un périphérique cdrom pourrait utiliser cela pour provoquer un
déni de service (plantage).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-11506";>CVE-2018-11506</a>
<p>Piotr Gabriel Kosinski et Daniel Shapira ont signalé que le pilote de disque
optique SCSI (sr) nâ??allouait pas un tampon suffisamment grand pour les données
indicatives « sense ». Un utilisateur, ayant accès à un périphérique optique SCSI
pouvant produire plus de 64 octets de données indicatives, pourrait utiliser cela
pour provoquer un déni de service (plantage ou corruption de mémoire), et
éventuellement pour une augmentation de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12233";>CVE-2018-12233</a>
<p>Shankara Pailoor a signalé quâ??une image de système de fichiers JFS contrefaite
pourrait déclencher un déni de service (corruption de mémoire). Cela pourrait
éventuellement être aussi utilisé pour une augmentation de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000204";>CVE-2018-1000204</a>
<p>Le logiciel syzbot a trouvé que le pilote générique SCSI (sg) pouvait en
certaines circonstances permettre de lire des données de tampons non initialisés
qui pourraient inclure des informations sensibles du noyau ou dâ??autres tâches.
Cependant, seul les utilisateurs privilégiés avec les capacités CAP_SYS_ADMIN ou
CAP_SYS_RAWIO étaient autorisés à cela, donc lâ??impact de sécurité était faible
ou inexistant.</p></li>
</ul>
<p>For Debian 8 <q>Jessie</q>, these problems ont été corrigés dans version
3.16.57-1.Cette mise à jour additionally fixes Debian bug #898165, and
includes many more bug fixes from stable update 3.16.57.</p>
<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1422-2.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise à jour de sécurité pour slurm-llnl introduisait une régression dans
le correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2018-10995";>CVE-2018-10995</a>
qui brisait la comptabilité.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 14.03.9-5+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets slurm-llnl.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1437-2.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise à jour de sécurité de mailman publiée dans la DLA-1442-1 introduisait
une régression à cause dâ??un correctif incomplet pour
<a href="https://security-tracker.debian.org/tracker/CVE-2018-13796";>CVE-2018-13796</a>
qui brisait les pages dâ??aperçu de admin et listinfo.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1:2.1.18-2+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mailman.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1442-2.data"
# $Id: $
Reply to: