[RFR] wml://lts/security/2018/dla-16{0..9}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été trouvées dans libarchive, une
bibliothèque de compression et dâ??archive multiformat. Des lectures hors limites
de tampon basé sur le tas, des déréférencements de pointeur NULL et des lecture
hors limites permettent à des attaquants distants de provoquer un déni de
service (plantage d'application) à  lâ??aide de fichiers dâ??archive spécialement
contrefaits.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.1.2-11+deb8u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libarchive.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1600.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Jayakrishna Menon et Christophe Hauser ont découvert une vulnérabilité de
dépassement d'entier dans Perl_my_setenv aboutissant à un dépassement de tampon
basé sur le tas avec une entrée contrôlée par un attaquant.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 5.20.2-3+deb8u12.</p>

<p>Nous vous recommandons de mettre à jour vos paquets perl.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1601.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Entre autres, Andre Heinicke de gpg4win.org a trouvé plusieurs problèmes dans
nsis, un outil pour pour créer des installateurs rapides et conviviaux pour le
système dâ??exploitation Microsoft Windows.</p>

<p>Les problèmes sont corrigés en :</p>

<ul>
<li>utilisant SetDefaultDllDirectories() pour restreindre des modules chargés
implicitement et dynamiquement dans des répertoires fiables ;</li>
<li>créant des répertoires temporaires de telle façon que seuls les utilisateurs
de haut niveau puissent écrire dedans ;</li>
<li>liant non implicitement vers la Version.dll mais en utilisant des fonctions
dâ??enveloppe.</li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2.46-10+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nsis.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1602.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été trouvés dans suricata, un outil de détection
dâ??intrusion et de prévention.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7177";>CVE-2017-7177</a>

<p>Suricata a un problème de contournement de défragmentation IPv4, causé par un
manque de vérification pour le protocole IP lors de la mise en correspondance de
fragments.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15377";>CVE-2017-15377</a>

<p>Il était possible de déclencher un tas de vérifications redondantes sur le
contenu dâ??un trafic réseau contrefait avec une certaine signature, à  cause de
DetectEngineContentInspection dans detect-engine-content-inspection.c. Le moteur
de recherche ne stoppe pas quand il devrait lorsquâ??aucune correspondance nâ??est
trouvée. � la place, il stoppe seulement lorsque la limite
dâ??inspection-récursion est atteinte (3000 par défaut).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6794";>CVE-2018-6794</a>

<p>Suricata est prédisposé à une vulnérabilité de contournement de détection
HTTP dans detect.c et stream-tcp.c. Si un serveur malveillant casse un flux TCP
normal et envoie des données avant que lâ??initialisation de connexion (3-way) soit
terminée, alors les données envoyées par le serveur malveillant seront acceptées
par les clients web tels quâ??un navigateur web ou des utilitaires en LDC de
Linux, mais ignorées par les signatures dâ??IDS de Suricata. Cela affecte
principalement les signatures dâ??IDS pour le protocole HTTP et le contenu de flux
TCP. Les signatures pour les paquets TCP inspecteront un tel réseau comme
 habituellement.</p>

<p>TEMP-0856648-2BC2C9 (no CVE assigned yet)</p>

<p>Lecture hors limites dans app-layer-dns-common.c. Pour un enregistrement A ou
AAAA de taille zéro, 4 ou 16 octets sont toujours lus.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2.0.7-2+deb8u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets suricata.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1603.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité dâ??injection de script intersite (XSS) dans la
bibliothèque de manipulation HTML/XSS de LXML pour Python.</p>

<p>LXML ne supprimait pas les URL « javascript: » qui utilisent des
modificateurs tels que <q>j a v a s c r i p t</q>. Câ??est un problème similaire à 
<a href="https://security-tracker.debian.org/tracker/CVE-2014-3146";>CVE-2014-3146</a>.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 3.4.0-1+deb8u1 de lxml.</p>

<p>Nous vous recommandons de mettre à jour vos paquets lxml.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1604.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web
Firefox de Mozilla, qui pourraient éventuellement aboutir dans l'exécution de
code arbitraire ou le contournement de la politique de même origine.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 60.4.0esr-1~deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1605.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour corrige la prise en charge de std::future de libstdc++ sur
armel, nécessaire pour que les mises à jour de firefox-esr et thunderbird soit
construites sur cette architecture.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 4.9.2-10+deb8u2.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1606.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Samba, un serveur de
fichier SMB/CIFS, d'impression et de connexion pour Unix.

Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-14629";>CVE-2018-14629</a>

<p>Florian Stuelpner a découvert que Samba est vulnérable à une récursion
infinie de requêtes provoquée par des boucles de CNAME, avec pour conséquence
un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16851";>CVE-2018-16851</a>

<p>Garming Sam de l'équipe Samba et Catalyst ont découvert une vulnérabilité de
déréférencement de pointeur NULL dans le serveur LDAP de Samba AD DC permettant
à un utilisateur capable de lire plus de 256 Mo d'entrées LDAP de planter le
serveur LDAP de Samba ADÂ DC.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2:4.2.14+dfsg-0+deb8u11.</p>

<p>Nous vous recommandons de mettre à jour vos paquets samba.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1607.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Des vulnérabilités ont été découvertes dans php5, un langage de script
embarqué dans du HTML et côté serveur. Remarquez que cette mise à jour inclut
une modification du comportement par défaut pour les connexions IMAP. Voir
ci-dessous pour les détails.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19518";>CVE-2018-19518</a>

<p>Une vulnérabilité dâ??injection dâ??argument dans imap_open() peut permettre à  un
attaquant distant dâ??exécuter des commandes dâ??OS arbitraires sur le serveur
IMAP.</p>

<p>Le correctif pour la vulnérabilité
<a href="https://security-tracker.debian.org/tracker/CVE-2018-19518";>CVE-2018-19518</a>
incluait cette note supplémentaire des développeurs amont :</p>

<p>A partir de 5.6.38, les connexions rsh/ssh sont désactivées par défaut.
Utiliser imap.enable_insecure_rsh pour pouvoir les activer. Notez que la
bibliothèque IMAP ne filtre pas les noms de boîte aux lettres avant de les
passer à la commande rsh/ssh, par conséquent passer des données non fiables à 
cette fonction avec rsh/ssh activé est non sûr.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19935";>CVE-2018-19935</a>

<p>Une déréférencement de pointeur NULL conduit à un plantage d'application et
à  un déni de service à  l'aide d'une chaîne vide dans lâ??argument du message de la
fonction imap_mail de ext/imap/php_imap.c.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 5.6.39+dfsg-0+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1608.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité a été découverte dans libapache-mod-jk, le connecteur
dâ??Apache 2 pour Tomcat, le moteur de servlet Java.</p>

<p>Le connecteur libapache-mod-jk est susceptible à une divulgation
d'informations et augmentation de droits à  cause dâ??un mauvais traitement de
normalisation dâ??URL.</p>

<p>La nature du correctif demande que libapache-mod-jk dans Debian 8
<q>Jessie</q> soit mis à jour vers la dernière publication amont. Pour
référence, les modifications de lâ??amont en fonction de chaque publication sont
documentées ici :</p>

<p><url "http://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html";></p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1.2.46-0+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libapache-mod-jk.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1609.data"
# $Id: $