[RFR] wml://lts/security/2017/dla-114{0-9}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Immédiatement après la mise à jour précédente de graphicsmagick, deux
problèmes supplémentaires de sécurité ont été identifiés. Les mises à jour sont
incluses ici.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-13737";>CVE-2017-13737</a>

<p>Arrondi incorrect aboutissant dans le brouillage du tas au-delà de
lâ??allocation.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15277";>CVE-2017-15277</a>

<p>Conservation de la palette non initialisée lors du traitement dâ??un fichier
GIF nâ??ayant pas de palette globale ni de palette locale.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.3.16-1.1+deb7u11.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1140.data"
# $Id: $

#use wml::debian::translation-check translation="cb6bc3d73ebe6c8ee975e84a5de151bbec375689" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans le serveur de base de données
MySQL. Les vulnérabilités sont corrigées en mettant à niveau MySQL vers la
nouvelle version 5.5.58 de lâ??amont qui inclut des modifications supplémentaires,
telles que des améliorations de performance, des corrections de bogue, de
nouvelles fonctionnalités et éventuellement des changements incompatibles.
Veuillez consulter les notes de publication de MySQLÂ 5.5 et les annonces de
mises à  jour critiques dâ??Oracle pour de plus amples détails :</p>

<ul>
<li><url "https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-58.html";></li>
<li><a href="http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html";>http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html</a></li>
</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 5.5.58-0+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mysql-5.5.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1141.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans libav.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8365";>CVE-2015-8365</a>

<p>La fonction smka_decode_frame dans libavcodec/smacker.c ne vérifiait pas que
la taille des données était cohérente avec le nombre de canaux. Cela permet à des
attaquants distants de provoquer un déni de service (accès tableau hors limites)
ou éventuellement dâ??avoir un impact non précisé à  lâ??aide de données Smacker
contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7208";>CVE-2017-7208</a>

<p>La fonction decode_residual dans libavcodec permet à des attaquants distants
de provoquer un déni de service (lecture excessive de tampon) ou dâ??obtenir des
informations sensibles de la mémoire du processus à l'aide d'un fichier vidéo h264
contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7862";>CVE-2017-7862</a>

<p>La fonction decode_frame dans libavcodec/pictordec.c est vulnérable à une
écriture hors limites provoquée par un dépassement de tampon basé sur le tas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9992";>CVE-2017-9992</a>

<p>La fonction decode_dds1 dans libavcodec/dfa.c permet à des attaquants
distants de provoquer un déni de service (dépassement de tampon basé sur le tas
et plantage d'application) ou éventuellement dâ??avoir un impact non précisé à 
l'aide d'un fichier contrefait.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 6:0.8.21-0+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libav.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1142.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Brian Carpenter, Geeknik Labs, 0xd34db347 et indépendamment le
projet OSS-Fuzz, ont détecté une lecture hors limites durant la réponse à 
FETCH dâ??IMAP.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
la version 7.26.0-1+wheezy22.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1143.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>git-annex avant 6.20170818 permet des attaquants distants dâ??exécuter des
commandes arbitraires à l'aide d'une URL ssh avec un caractère tiret initial
dans le nom dâ??hôte, comme démontré par un ssh://-eProxyCommand= URL, un problème
en relation avec
<a href="https://security-tracker.debian.org/tracker/CVE-2017-9800";>CVE-2017-9800</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2017-12836";>CVE-2017-12836</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2017-1000116";>CVE-2017-1000116</a>, et
<a href="https://security-tracker.debian.org/tracker/CVE-2017-1000117";>CVE-2017-1000117</a>.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.20120629+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets git-annex.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1144.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans zoneminder. Cette mise à 
jour corrige une vulnérabilité sérieuse de divulgation de fichier
(<a href="https://security-tracker.debian.org/tracker/CVE-2017-5595";>CVE-2017-5595</a>).</p>

<p>Lâ??application sâ??est avérée comme étant sujette à  de nombreux problèmes tels
que des vulnérabilités dâ??injection SQL, des problèmes de script intersite, des
contrefaçons de requête intersite et une vulnérabilité de fixation de session.
Ã? cause du nombre de problèmes et lâ??invasivité relative des correctifs
concernés, ces problèmes ne seront pas corrigés dans Wheezy. Par conséquent,
nous vous conseillons de restreindre lâ??accès à  zoneminder aux utilisateurs
fiables. Si vous voulez réexaminer la listes des problèmes ignorés, vous pouvez
consulter le suivi de sécurité :
<a href="https://security-tracker.debian.org/tracker/source-package/zoneminder";>https://security-tracker.debian.org/tracker/source-package/zoneminder</a></p>

<p>Nous vous recommandons de mettre à jour vos paquets zoneminder.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

<p> Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été résolus dans la
version 1.25.0-4+deb7u2</p> de zoneminder
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1145.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le fichier de persistance de mosquitto (mosquitto.db) a été créé selon un
mode de lecture universelle, permettant par conséquent aux utilisateurs locaux
dâ??obtenir des informations sensibles sur des sujets MQTT. Bien que lâ??application
a été corrigée pour régler ses propres permissions par défaut, vous devez
manuellement régler les permissions de tous les fichiers existants.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.15-2+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mosquitto.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1146.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La bibliothèque exiv2 est vulnérable à plusieurs problèmes qui peuvent tous
aboutir à  un déni de service de lâ??application sâ??appuyant sur la bibliothèque
pour analyser les métadonnées des images.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11591";>CVE-2017-11591</a>

<p>Déni de service à  lâ??aide dâ??exception de virgule flottante dans la fonction
Exiv2::ValueType.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11683";>CVE-2017-11683</a>

<p>Déni de service à  travers lâ??échec dâ??assertion déclenché par une image contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14859";>CVE-2017-14859</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-14862";>CVE-2017-14862</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-14864";>CVE-2017-14864</a>

<p>Déni de service à travers un accès mémoire non valable déclenché par une
image contrefaite.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.23-1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets exiv2.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1147.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Go avant 1.8.4 et 1.9.x avant 1.9.1 permet une exécution de commande
<q>go get</q> à distance. En utilisant des domaines personnalisés, il est
possible de parvenir à ce que example.com/pkg1 pointe vers un dépôt Subversion
mais que example.com/pkg1/pkg2 pointe vers un dépôt Git. Si le dépôt
Subversion inclut un checkout de Git dans son répertoire pkg2 et que quelque
chose soit fait pour garantir un bon ordonnancement des opérations, <q>go
get</q> peut être piégé à réutiliser ce checkout de Git pour extraire du code de
pkg2. Si le checkout de Subversion pour le dépôt de Git possède des commandes
malveillantes dans .git/hooks/, elles sâ??exécuteront sur le système utilisant
« go get ».</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2:1.0.2-1.1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets golang.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1148.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-13089";>CVE-2017-13089</a>

<p>Correction dâ??un dépassement de pile dans le traitement du protocole HTTP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-13090";>CVE-2017-13090</a>

<p>Correction dâ??un dépassement de tas dans le traitement du protocole HTTP.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.13.4-3+deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wget.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1149.data"
# $Id: $