[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2017/dla-116{0-9}.wml

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>WordPress, un outil de blog web, était affecté par un problème où
$wpdb->prepare() pouvait créer des requêtes inattendues et non sûres conduisant à
une injection SQL potentielle (SQLi) dans les greffons et thèmes, comme démontré
par une méthode <q>double prepare</q>. Câ??est une vulnérabilité différente de
<a href="https://security-tracker.debian.org/tracker/CVE-2017-14723";>CVE-2017-14723</a>.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.6.1+dfsg-1~deb7u18.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1160.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une attaque <q>Cross Protocol Scripting</q> dans la base de données
clef/valeur Redis.</p>

<p>Les chaînes de commande « POST » et « Host: » (non autorisées dans le
protocole Redis) nâ??étaient pas réjetées de suite lorsquâ??un attaquant réalisait
des requêtes HTTP sur le port TCP de Redis.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2:2.4.14-1+deb7u2.</p> de redis

<p>Nous vous recommandons de mettre à jour vos paquets redis.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1161.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait un accès en lecture hors limites dans la bibliothèque apr-util de
prise en charge et de portabilité utilisée par de nombreuses applications.</p>

<p>Un utilisateur local avec accès en écriture dans la base de données pourrait
réaliser un plantage de processus utilisant ses fonctions et causer par
conséquent un déni de service.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.4.1-3+deb7u1.</p> de apr-util

<p>Nous vous recommandons de mettre à jour vos paquets apr-util.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1163.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de mémoire hors limites dans la bibliothèque
apr de prise en charge et de portabilité pour diverses applications.</p>

<p>Lorsque les fonctions apr_exp_time*() ou apr_os_exp_time*() étaient
invoquées avec une valeur de champ mensuel non valable, une mémoire hors limites
pouvait être atteinte lors de la conversion de cette valeur en une valeur
apr_time_exp_t. Cela pourrait avoir révélé le contenu de valeurs statiques de
tas ou aboutir dans la fin du programme.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.4.6-3+deb7u2.</p> de apr

<p>Nous vous recommandons de mettre à jour vos paquets apr.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1162.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux problèmes de sécurité ont été découverts dans mupdf, un afficheur léger
de PDF.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14687";>CVE-2017-14687</a>

<p>MuPDF permet à des attaquants de provoquer un déni de service ou
éventuellement dâ??avoir un impact non précisé à l'aide d'un fichier .xps
contrefait. Cela se produit à cause du mauvais traitement de la comparaison de
noms de balises XML.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15587";>CVE-2017-15587</a>

<p>Un dépassement d'entier a été découvert dans pdf_read_new_xref_section dans
pdf/pdf-xref.c</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.9-2+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mupdf.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1164.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>libpam4j, une liaison Java pour libpam.so, nâ??appelle pas pam_acct_mgmt().
Comme conséquence, le compte PAM nâ??est pas vérifié correctement. Nâ??importe quel
utilisateur avec un mot de passe valable avec un compte désactivé ou supprimé
pouvait se connecter.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.4-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libpam4j.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1165.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité dâ??exécution de code à distance a été découverte dans tomcat7.</p>

<p>Lorsque HTTP PUT était activé (par exemple, à lâ??aide du réglage du paramètre
dâ??initialisation en lecture seule du servlet par défaut  à false), il
était possible de téléverser un fichier JSP sur le serveur à l'aide d'une
requête contrefaite pour l'occasion. Ce JSP pourrait alors être requis et tout
code quâ??il contenait serait exécuté par le serveur.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 7.0.28-4+deb7u16.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1166.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans ruby-yajl, une interface à Yajl, une
bibliothèque JSON dâ??analyse basée sur les flux. Quand un fichier JSON contrefait
est fourni à Yajl::Parser.new.parse, le processus ruby en entier plante avec un
SIGABRT dans la fonction yajl_string_decode dans yajl_encode.c. Cela pourrait
aboutir à un déni de service.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.1.0-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ruby-yajl.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1167.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité de déni de service à distance a été découverte dans
graphicsmagick, une collection dâ??outils de traitement dâ??images et leurs
bibliothèques associées.</p>

<p>Un fichier contrefait pour l'occasion peut être utilisé pour produire un
dépassement de tampon basé sur le tas et un plantage d'application en exploitant
un défaut dans la fonction AcquireCacheNexus dans magick/pixel_cache.c.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.3.16-1.1+deb7u14.</p>

<p>Nous vous recommendons de mettre à niveau vos paquets graphicsmagick.
<p><b>Remarque</b> : le paquet graphicsmagick précédant introduisait par
inadvertance une dépendance à liblcms2-2. Cette version de paquet réutilise
liblcms1. Si votre système ne requiert pas autre part liblcms2-2, vous pouvez
envisager de le supprimer en suivant la mise à niveau de graphicsmagick.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1168.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de sécurité a été découverte dans postgresql-common, les
outils de grappe de Debian de gestion de base de données PostgreSQL.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8806";>CVE-2017-8806</a>

<p>Les commandes pg_ctlcluster, pg_createcluster et pg_upgradecluster géraient
les liens symboliques de manière non sûre. Cela pouvait aboutir à un déni de
service local par écrasement de fichiers arbitraires.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 134wheezy6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets postgresql-common.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1169.data"
# $Id: $
Reply to: