[RFR] wml://lts/security/2019/dla-1{624,625,626,685,693,696,701,702,703}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans Thunderbird. Cela
peut permettre lâ??exécution de code arbitraire ou un déni de service.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1:60.4.0-1~deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets thunderbird.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1624.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour inclut les modifications dans tzdata 2018i. Les
modifications notables sont :</p>

<ul>
<li>Qyzylorda, Kazakhstan a basculé de +06 à +05 le 21/12/2018. Une nouvelle
zone Asia/Qostanay a été ajoutée, parce que Qostanay, Kazakhstan nâ??a pas
basculé.</li>
<li>Metlakatla, Alaska observe lâ??heure dâ??hiver pour cet hiver seulement.</li>
<li>São Tomé et Príncipe ont basculé de +01 à +00 le 01/01/2019.</li>
</ul>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 2018i-0+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tzdata.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1625.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour inclut les modifications dans tzdata 2018i pour les
liaisons de Perl. Pour la liste des modifications, consulter DLA-1625-1.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1:1.75-2+2018i.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libdatetime-timezone-perl.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1626.data"
# $Id: $

#use wml::debian::translation-check translation="0d932b8d19a79b0c914dc688bef599aff9159106" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Le cÅ?ur de Drupal utilise la bibliothèque tierce Archive_Tar de PEAR. Cette
bibliothèque a publiée une mise à jour de sécurité qui impacte quelques
configurations de Drupal. Se référer à 
<a href="https://security-tracker.debian.org/tracker/CVE-2018-1000888";>CVE-2018-1000888</a>
pour les détails. Une possible régression causée par
<a href="https://security-tracker.debian.org/tracker/CVE-2019-6339";>CVE-2019-6339</a>
est aussi corrigée.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 7.32-1+deb8u15.</p>

<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1685.data"
# $Id: $

#use wml::debian::translation-check translation="c3aba639227f792b02b83bf19f9cc83f0b663235" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs problèmes ont été découverts par différents auteurs dans gpac, un
cadriciel multimédia au source ouvert, destiné à la recherche et à des fins
académiques.</p>

<p>Les problèmes sont essentiellement des dépassements de tampon dans
différentes fonctions de tout le paquet.</p>


<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.5.0+svn5324~dfsg1-1+deb8u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets gpac.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1693.data"
# $Id: $

#use wml::debian::translation-check translation="b60c61e7d6a7161f77dedbf5685aa2b3c9125654" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Ceph, un système de
fichiers et de stockage distribué.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-14662";>CVE-2018-14662</a>

<p>Il a été découvert que des utilisateurs ceph authentifiés avec seulement des
permissions de lecture pourraient usurper les clefs de chiffrement dm-crypt
utilisées dans le chiffrement de disques ceph.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16846";>CVE-2018-16846</a>

<p>Il a été découvert que des utilisateurs ceph RGW authentifiés peuvent causer
un déni de service à  lâ??encontre dâ??OMAP ayant des indices de compartiment.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.80.7-2+deb8u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ceph.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow"
href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1696.data"
# $Id: $

#use wml::debian::translation-check translation="6259ee5c5e06156d1325f026568cbf234eefb7e8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Juraj Somorovsky, Robert Merget et Nimrod Aviram ont découvert une attague
dâ??oracle par remplissage dans OpenSSL.</p>

<p>Si une application rencontrait une erreur fatale de protocole et appelait
alors SSL_shutdown() deux fois (une fois pour envoyer un close_notify et une
autre pour en recevoir un), alors OpenSSL pouvait répondre différemment à 
lâ??application appelante si un enregistrement 0 octet est reçu avec un
remplissage non valable comparé à un enregistrement 0 octet reçu avec un MAC non
valable. Si lâ??application alors se comporte différemment, basé sur que de cette
manière cela est détectable par le pair distant, alors cela équivaut à  lâ??oracle
de remplissage qui pourrait être utilisé pour déchiffrer les données.</p>

<p>Pour que cela soit exploitable, les suites de chiffrement « non-orchestrées »
doivent être utilisées. Les suites de chiffrement orchestrées (Stitched) sont
des implémentations optimisées de certaines suites couramment utilisées.
Lâ??application doit aussi appeler deux fois SSL_shutdown() même si une erreur
de protocole sâ??est produite (les applications ne devraient pas faire cela, mais
quelques unes le font). Les suites AEAD ne sont pas touchées.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1.0.1t-1+deb8u11.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1701.data"
# $Id: $

#use wml::debian::translation-check translation="f5c75957ee913898f64b49d2b7acf5d20e0d3ad4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans advancecomp, une collection
dâ??utilitaires de recompression.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1056";>CVE-2018-1056</a>

<p>Joonun Jang a découvert que lâ??outil advzip était prédisposé à  un dépassement
de tampon basé sur le tas. Cela pourrait permettre à un attaquant de provoquer
un déni de service (plantage d'application) ou avoir un impact non spécifié à 
l'aide d'un fichier contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9210";>CVE-2019-9210</a>

<p>La fonction png_compress dans pngex.cc dans advpng est sujette à un
dépassement d'entier lorsquâ??elle fait face à  une taille de PNG non valable. Cela
pourrait aboutir à un autre dépassement de tampon basé sur le tas.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.19-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets advancecomp.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1702.data"
# $Id: $

#use wml::debian::translation-check translation="fb23f690a16f1af6dd76514de287c292df48bdf3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs défauts de désérialisation ont été découverts dans
jackson-databind, une bibliothèque JSON rapide et puissante pour Java. Ils
pourraient permettre à un utilisateur non authentifié de réaliser une exécution
de code. Ce problème a été corrigé en étendant la liste noire et le blocage de
plus de classes dâ??une désérialisation polymorphique.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2.4.2-2+deb8u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jackson-databind.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1703.data"
# $Id: $