[RFR] wml://lts/security/2018/dla-150{0..9}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSH, une implémentation
libre de la suite de protocole SSH.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5352";>CVE-2015-5352</a>
<p>OpenSSH vérifiait incorrectement la date limite dâ??écrans pour des
connexions X. Des attaquants distants pourraient exploiter ce défaut pour
contourner les restrictions dâ??accès voulues. Signalé par Jann Horn.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5600";>CVE-2015-5600</a>
<p>OpenSSH restreignait improprement le traitement de périphériques interactifs
avec le clavier lors dâ??une connexion unique. Cela pourrait permettre à des
attaquants distants de réaliser des attaques par force brute ou causer un déni
de service dans un configuration personnalisée.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6563";>CVE-2015-6563</a>
<p>OpenSSH gérait incorrectement les noms dâ??utilisateur lors de
lâ??authentification PAM. En conjonction avec un autre défaut dans le processus
fils sans droits dâ??OpenSSH, des attaquants distants pourraient utiliser ce
problème pour réaliser une usurpation dâ??utilisateur. Découvert par Moritz
Jodeit.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6564";>CVE-2015-6564</a>
<p>Moritz Jodeit a découvert un défaut dâ??utilisation de mémoire après libération
dans la prise en charge de PAM dans OpenSSH. Cela pourrait être utilisé par des
attaquants distants pour contourner lâ??authentification ou, éventuellement,
exécuter du code arbitraire.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1908";>CVE-2016-1908</a>
<p>OpenSSH gérait incorrectement les redirections X11 non authentifiées lorsquâ??un
serveur·X désactivait lâ??extension SECURITY. Des connexions non authentifiées
pourraient obtenir les droits de redirection X11 authentifiée. Signalé par
Thomas Hoger.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3115";>CVE-2016-3115</a>
<p>OpenSSH gérait improprement les données de redirection X11 relatives aux
identifiants. Des utilisateurs distants authentifiés pourraient utiliser ce
défaut pour contourner les restrictions de commandes dâ??interpréteur voulues.
Découvert par github.com/tintinweb.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6515";>CVE-2016-6515</a>
<p>OpenSSH ne limitait par la longueur des mots de passe lors de
lâ??authentification. Des attaquants distants pourraient utiliser ce défaut pour
provoquer un déni de service à lâ??aide de longues chaînes.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10009";>CVE-2016-10009</a>
<p>Jann Horn a découvert une vulnérabilité de chemin de recherche non fiable
dans ssh-agent permettant à des attaquants distants dâ??exécuter des modules
PKCS#11 locaux arbitraires en exploitant le contrôle sur une socket dâ??agent
redirigée.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10011";>CVE-2016-10011</a>
<p>Jann Horn a découvert que OpenSSH nâ??examinait pas correctement les effets de
réallocation de contenu de tampon. Cela pourrait permettre à des utilisateurs locaux
dâ??obtenir des informations de clef privée sensibles en exploitant lâ??accès à un
processus fils avec des droits distincts.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10012";>CVE-2016-10012</a>
<p>Guido Vranken a découvert que le gestionnaire de mémoire partagée dâ??OpenSSH
ne garantissait pas que la vérification de limites était appliquée pour tous
les compilateurs. Cela pourrait permettre à des utilisateurs locaux dâ??obtenir
des droits en exploitant lâ??accès au processus de bac à sable de droits
distincts.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10708";>CVE-2016-10708</a>
<p>Déréférencement de pointeur NULL et plantage du démon à l'aide d'un message
NEWKEYS pas dans le bon ordre.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15906";>CVE-2017-15906</a>
<p>Michal Zalewski a signalé quâ??OpenSSH empêchait improprement les opérations
dâ??écriture dans le mode écriture seulement. Cela permettait à des attaquants de
créer des fichiers de longueur zéro.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1:6.7p1-5+deb8u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssh.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1500.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de lecture hors limites existait dans libextractor, une
bibliothèque pour extraire les métadonnées de fichiers de type arbitraire.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1:1.3-2+deb8u3 de libextractor.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libextractor.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1501.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux insuffisances de vérification des entrées ont été découvertes dans les
binaires faxrunq et faxq de mgetty. Un attaquant pourrait les exploiter pour
insérer des commandes à lâ??aide de métacaractères dâ??interpréteur dans des
identifiants de travaux et les exécuter avec les droits de lâ??utilisateur de
faxrunq/faxq.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1.1.36-2.1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mgetty.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1502.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p> Il existait une vulnérabilité de déni de service et une potentielle
exécution de code arbitraire dans le serveur SIP kamailio.</p>
<p>Un message SIP spécialement contrefait avec un en-tête <q>Via</q> pouvait
provoquer une erreur de segmentation et le plantage de Kamailio à cause de
validations insuffisantes des entrées.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 4.2.0-2+deb8u5 de kamailio.</p>
<p>Nous vous recommandons de mettre à jour vos paquets kamailio.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1503.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tavis Ormandy a découvert plusieurs vulnérabilités dans Ghostscript, un
interpréteur pour le langage PostScript, qui pourrait aboutir à un déni de
service, la créations de fichiers ou l'exécution de code arbitraire si un
fichier Postscript malformé est traité (en dépit de lâ??activation du bac à sable
dSAFER).</p>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 9.06~dfsg-2+deb8u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ghostscript.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1504.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les versions antérieures à la version 1.8-pre2 de zutils étaient sujettes Ã
une vulnérabilité de dépassement de tampon dans zcat provoqué par un fichier
dâ??entrée lorsque lâ??option « -v, --show-nonprinting » était utilisée (ou
indirectement activée). Cela pouvait aboutir éventuellement dans un déni de
service ou lâ??exécution de code arbitraire. Cette attaque semble exploitable
si la victime ouvre un fichier compressé contrefait, et a été corrigée
dans 1.8-pre2.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1.3-4+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets zutils.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1505.data"
# $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Des chercheurs en sécurité ont identifié une exécution spéculative de
méthodes par canal auxiliaire ayant le potentiel de récolter des données
sensibles à partir de périphériques informatiques avec des processeurs de
fournisseurs et systèmes dâ??exploitation différents.</p>
<p>Cette mise à jour nécessite celle du paquet intel-microcode qui nâ??est pas
libre. Câ??est en relation avec DLA-1446-1 et ajoute plus de mitigations pour
des types de processeurs supplémentaires dâ??Intel.</p>
<p>Pour plus dâ??informations, lire aussi les alertes de sécurité officielles
dâ??Intel :</p>
<ul>
<li><url "https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00088.html";></li>
<li><url "https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html";></li>
<li><url "https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html";></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.20180807a.1~deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets intel-microcode.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1506.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Jan Ingvoldstad a découvert que libapache2-mod-perl2 permet à des attaquants
dâ??exécuter du code Perl arbitraire en le plaçant dans un fichier .htaccess
possédé par lâ??utilisateur, car (contrairement à la documentation) il nâ??y a pas
dâ??option de configuration, pour un contrôle par lâ??administrateur du traitement de
requêtes HTTP, qui permette du code Perl sans permettre aussi aux utilisateurs
sans droits dâ??exécuter du code Perl dans le contexte du compte utilisateur qui
exécute les processus de serveur HTTP Apache.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 2.0.9~1624218-2+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libapache2-mod-perl2.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1507.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p><a href="https://security-tracker.debian.org/tracker/CVE-2016-10728";>CVE-2016-10728</a>
Si un paquet erroné ICMPv4 est reçu comme premier paquet dans un flux de
direction vers le client, cela peut conduire à un manque de détection TCP/UDP
dans les paquets suivants.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 2.0.7-2+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets suricata.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1508.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans php5, un langage de script intégré
dans du HTML et côté serveur. Le composant Apache2 permet une attaque XSS Ã
lâ??aide du corps dâ??une requête «·Transfer-Encoding: chunked·» à cause dâ??un défaut
dans la gestion de la requête.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 5.6.38+dfsg-0+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1509.data"
# $Id: $
Reply to:
- Prev by Date:
[RFR] wml://lts/security/2018/dla126{0,1,2,3,4,5,6,7,8,9}.wml
- Next by Date:
Re: [RFR] wml://lts/security/2018/dla126{0,1,2,3,4,5,6,7,8,9}.wml
- Previous by thread:
[LCFC] wml://lts/security/2018/dla126{0,1,2,3,4,5,6,7,8,9}.wml
- Next by thread:
Re: [RFR] wml://lts/security/2018/dla-150{0..9}.wml
- Index(es):