[RFR] wml://lts/security/2017/dla-107{0-9}.wml
Bonjour,
ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur rapide
de processeur.
Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6505";>CVE-2017-6505</a>
<p>Déni de service à lâ??aide dâ??une boucle infinie dans lâ??émulation USB OHCI.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8309";>CVE-2017-8309</a>
<p>Déni de service à lâ??aide de capture audio VNC.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10664";>CVE-2017-10664</a>
<p>Déni de service dans le serveur qemu-nbd, qemu-io et qemu-img.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11434";>CVE-2017-11434</a>
<p>Déni de service à l'aide d'une chaîne dâ??option DHCP contrefaite.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.1.2+dfsg-6+deb7u23.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1070.data"
# $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution
complète de virtualisation pour des hôtes Linux sur du matériel x86 avec des
invités x86 basés sur Qemu (Quick Emulator).</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6505";>CVE-2017-6505</a>
<p>Déni de service à lâ??aide dâ??une boucle infinie dans lâ??émulation USB OHCI.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8309";>CVE-2017-8309</a>
<p>Déni de service à lâ??aide de capture audio VNC.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10664";>CVE-2017-10664</a>
<p>Déni de service dans le serveur qemu-nbd, qemu-io et qemu-img.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11434";>CVE-2017-11434</a>
<p>Déni de service à l'aide d'une chaîne dâ??option DHCP contrefaite.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.1.2+dfsg-6+deb7u23.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1071.data"
# $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités importantes ont été trouvées dans le système de gestion
de versions Mercurial, qui pourraient conduire à un attaque par injection
dâ??interpréteur et un écrasement de fichiers hors dâ??arbre.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000115";>CVE-2017-1000115</a>
<p>Lâ??évaluation de lien symbolique de Mercurial était incomplète avant 4.3, et
pourrait être dupée pour écrire des fichiers en dehors du dépôt.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000116";>CVE-2017-1000116</a>
<p>Mercurial ne nettoyait pas les noms dâ??hôte passés à ssh, permettant une
attaque par injection dâ??interpréteur sur des clients en précisant un nom dâ??hôte
débutant par -oProxyCommand. Cette vulnérabilité est similaire à celles dans
Git (<a href="https://security-tracker.debian.org/tracker/CVE-2017-1000117";>CVE-2017-1000117</a>)
et Subversion
(<a href="https://security-tracker.debian.org/tracker/CVE-2017-9800";>CVE-2017-9800</a>).</p>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.2.2-4+deb7u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mercurial.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1072.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation
de la plateforme Java dâ??Oracle, aboutissant à un contournement du bac à sable,
une authentification incorrecte, une exécution de code arbitraire, un déni de
service, une divulgation d'informations, une utilisation de chiffrement non sûr
ou un contournement de vérification de Jar.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 7u151-2.6.11-1+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openjdk-7.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1073.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de dépassement de tampon et d'entier ont été découverts
dans Poppler, une bibliothèque PDF, qui pourraient conduire à un plantage
d'application ou éventuellement à un autre impact non précisé à lâ??aide
de fichiers malveillants contrefaits.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.18.4-6+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets poppler.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1074.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dans WordPress, il existe une validation de redirection insuffisante dans la
classe HTTP, conduisant à une contrefaçon de requête côté serveur (SSRF).</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.6.1+dfsg-1~deb7u16.</p>
<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1075.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La fonction finish_nested_data dans ext/standard/var_unserializer.re dans PHP
est prédisposée à une lecture excessive de tampon lors de la désérialisation de
données non fiables. Lâ??exploitation de ce problème a un impact non précisé
pour lâ??intégrité de PHP.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 5.4.45-0+deb7u11.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1076.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Divers problèmes de sécurité ont été découverts dans faad2, un décodeur audio
rapide, qui pouvaient permettre à des attaquants distants de provoquer un déni de
service (plantage d'application dû à des erreurs de mémoire ou à une trop grande
consommation de CPU) Ã l'aide d'un fichier mp4 contrefait.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.7-8+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets faad2.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1077.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dans connman, un dépassement de pile dans <q>dnsproxy.c</q> permet à des
attaquants distants de provoquer un déni de service (plantage) ou dâ??exécuter du
code arbitraire à l'aide d'une chaîne contrefaite de requête de réponse passée
à la variable <q>name</q>.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.0-1.1+wheezy2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets connman.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1078.data"
# $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La bibliothèque Perl pour communiquer avec la base de données MySQL, utilisée
dans le client <q>mysql</q> en ligne de commande, est vulnérable à une attaque
dâ??homme du milieu dans les configurations SSL et à un plantage distant lors de
la connexion à un serveur malveillant.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10788";>CVE-2017-10788</a>
<p>Le module DBD::mysql jusquâ??à  4.042 pour Perl permet à des attaquants distants
de provoquer un déni de service (utilisation de mémoire après libération et
plantage d'application) ou, éventuellement, dâ??avoir un impact non précisé en
déclenchant (1) certaines réponses à des erreurs dâ??un serveur MySQL ou
(2) une perte de connexion réseau à un serveur MySQL. Le défaut dâ??utilisation de
mémoire après libération était introduit en sâ??appuyant sur une documentation
incorrecte de mysql_stmt_close et des exemples de code dâ??Oracle.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10789";>CVE-2017-10789</a>
<p>Le module DBD::mysql jusquâ??à  4.042 pour Perl utilise le réglage mysql_ssl=1
pour signifier que SSL est facultatif (même si la documentation du réglage
possède une déclaration <q>your communication with the server will be
encrypted</q>). Cela permet à des attaquants de type « homme du milieu »
dâ??usurper des serveurs à l'aide d'une attaque cleartext-downgrade, un problème
relatif Ã
<a href="https://security-tracker.debian.org/tracker/CVE-2015-3152";>CVE-2015-3152</a>.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.021-1+deb7u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libdbd-mysql-perl.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1079.data"
# $Id: $
Reply to: