[RFR] wml://lts/security/2019/dla-170{6,7,8}.wml
Bonjour,
Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="88fcabc372c2a189dedb4e16b6352e298f88da51" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la bibliothèque
de rendu partagée de PDF, poppler.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19058";>CVE-2018-19058</a>
<p>Une interruption accessible dans Object.h peut aboutir à un déni de service
à cause dâ??un manque de vérification dans EmbFile::save2 de FileSpec.cc avant
de sauvegarder un fichier intégré.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20481";>CVE-2018-20481</a>
<p>Poppler gère incorrectement des entrées XRef non allouées. Cela permet à des
attaquants distants de provoquer un déni de service (déréférencement de pointeur
NULL) Ã l'aide d'un document PDF contrefait.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-20662";>CVE-2018-20662</a>
<p>Poppler permet à des attaquants de provoquer un déni de service (plantage
d'application et erreur de segmentation) en contrefaisant un fichier PDF dans
lequel une structure de données xref est corrompue.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-7310";>CVE-2019-7310</a>
<p>Une lecture hors limites de tampon basé sur le tas (due à une erreur
dâ??absence de signe dâ??entier dans la fonction XRef::getEntry dans XRef.cc)
permet à des attaquants distants de provoquer un déni de service (plantage
d'application) ou éventuellement dâ??avoir un impact non précisé à l'aide d'un
document PDF contrefait.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-9200";>CVE-2019-9200</a>
<p>Une écriture hors limites de tampon basé sur le tas existe dans
ImageStream::getLine() situé dans Stream.cc qui peut (par exemple) être
déclenchée par lâ??envoi dâ??un fichier PDF contrefait au binaire pdfimages. Il
permet à un attaquant de provoquer un déni de service (erreur de segmentation)
ou éventuellement dâ??avoir un impact non précisé.</p>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.26.5-2+deb8u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets poppler.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1706.data"
# $Id: $
#use wml::debian::translation-check translation="04be8147985325ac50d62fdf5a373d5eb24a458c" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans symfony, un
cadriciel pour application web de PHP. De nombreux composants de symfony sont
affectés : Security, lecteurs de groupe, gestion de session, SecurityBundle,
HttpFoundation, Form et Security\Http.</p>
<p>Les alertes de lâ??amont correspondantes fournissent plus de détails :</p>
<p>[<a href="https://security-tracker.debian.org/tracker/CVE-2017-16652";>CVE-2017-16652</a>]
<a href="https://symfony.com/blog/cve-2017-16652-open-redirect-vulnerability-on-security-handlers";>https://symfony.com/blog/cve-2017-16652-open-redirect-vulnerability-on-security-handlers</a></p>
<p>[<a href="https://security-tracker.debian.org/tracker/CVE-2017-16654";>CVE-2017-16654</a>]
<a href="https://symfony.com/blog/cve-2017-16654-intl-bundle-readers-breaking-out-of-paths";>https://symfony.com/blog/cve-2017-16654-intl-bundle-readers-breaking-out-of-paths</a></p>
<p>[<a href="https://security-tracker.debian.org/tracker/CVE-2018-11385";>CVE-2018-11385</a>]
<a href="https://symfony.com/blog/cve-2018-11385-session-fixation-issue-for-guard-authentication";>https://symfony.com/blog/cve-2018-11385-session-fixation-issue-for-guard-authentication</a></p>
<p>[<a href="https://security-tracker.debian.org/tracker/CVE-2018-11408";>CVE-2018-11408</a>]
<a href="https://symfony.com/blog/cve-2018-11408-open-redirect-vulnerability-on-security-handlers";>https://symfony.com/blog/cve-2018-11408-open-redirect-vulnerability-on-security-handlers</a></p>
<p>[<a href="https://security-tracker.debian.org/tracker/CVE-2018-14773";>CVE-2018-14773</a>]
<a href="https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers";>https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers</a></p>
<p>[<a href="https://security-tracker.debian.org/tracker/CVE-2018-19789";>CVE-2018-19789</a>]
<a href="https://symfony.com/blog/cve-2018-19789-disclosure-of-uploaded-files-full-path";>https://symfony.com/blog/cve-2018-19789-disclosure-of-uploaded-files-full-path</a></p>
<p>[<a href="https://security-tracker.debian.org/tracker/CVE-2018-19790";>CVE-2018-19790</a>]
<a href="https://symfony.com/blog/cve-2018-19790-open-redirect-vulnerability-when-using-security-http";>https://symfony.com/blog/cve-2018-19790-open-redirect-vulnerability-when-using-security-http</a></p>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2.3.21+dfsg-4+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets symfony.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1707.data"
# $Id: $
#use wml::debian::translation-check translation="f138c367348b7794a028ce9f8e3d0b27f4a5b74a" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans Zabbix, une
solution de surveillance réseau pour serveurs et clients.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10742";>CVE-2016-10742</a>
<p>Zabbix permettait à des attaquants distants de rediriger vers des liens
externes en utilisant à mauvais escient le paramètre de requête.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-2826";>CVE-2017-2826</a>
<p>Une vulnérabilité de divulgation d'informations existe dans la requête de
mandataire iConfig du serveur Zabbix. Une requête de mandataire iConfig
spécialement contrefaite peut faire que le serveur Zabbix envoie les
informations de configuration de nâ??importe quel mandataire Zabbix, aboutissant
à une divulgation d'informations. Un attaquant peut faire des requêtes à partir
dâ??un mandataire Zabbix actif pour déclencher cette vulnérabilité.</p>
<p>Cette mise à jour inclut aussi plusieurs corrections de bogue et
améliorations. Pour plus dâ??informations, veuillez vous référer au journal de
modifications de lâ??amont.</p>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1:2.2.23+dfsg-0+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets zabbix.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a rel="nofollow
"href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-1708.data"
# $Id: $
Reply to: