[RFR] wml://lts/security/2018/dla-158{0..9}wml
Bonjour,
Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-15xx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-15xx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que systemd est sujet à plusieurs vulnérabilités de
sécurité, allant dâ??attaques par déni de service à une possible augmentation de
droits à ceux du superutilisateur.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1049";>CVE-2018-1049</a>
<p>Une situation de compétition existe entre les unités .mount et .automount de
sorte que les requêtes automount du noyau pourraient ne pas être servies par
systemd, menant à ce que le noyau contenant le point de montage ou nâ??importe
quel processus essayant dâ??utiliser disons mount gèleront. Une situation de
compétition comme celle-ci pourrait conduire à un déni de service, jusquâ??à ce
que les points de montage soient démontés.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-15686";>CVE-2018-15686</a>
<p>Une vulnérabilité dans unit_deserialize de systemd permet à un attaquant de
fournir un état arbitraire à travers une réexécution de systemd à lâ??aide de
NotifyAccess. Cela peut être utilisé pour influencer improprement lâ??exécution de
systemd et éventuellement une augmentation de droits à ceux du
superutilisateur.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-15688";>CVE-2018-15688</a>
<p>Une vulnérabilité de dépassement de tampon dans le client dhcp6 systemd
permet à un serveur dhcp6 malveillant de surcharger la mémoire de tas dans
systemd-networkd, qui nâ??est pas activé par défaut dans Debian.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 215-17+deb8u8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets systemd.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1580.data"
# $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans uriparser, une bibliothèque
dâ??analyse dâ??identifiants normalisés (URI).</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19198";>CVE-2018-19198</a>
<p>UriQuery.c permet une écriture hors limites à l'aide d'une fonction
uriComposeQuery* ou uriComposeQueryEx* parce que le caractère «·&·» est mal
géré dans certains contextes.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19199";>CVE-2018-19199</a>
<p>UriQuery.c permet un dépassement d'entier à l'aide d'une fonction
uriComposeQuery* ou uriComposeQueryEx* à cause dâ??une absence de vérification
de multiplication.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19200";>CVE-2018-19200</a>
<p>UriCommon.c permet des tentatives dâ??opérations pour une entrée NULL à l'aide
d'une fonction uriResetUri*.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.8.0.1-2+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets uriparser.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1581.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de dépassement de pile a été découverte dans liblivemedia,
la bibliothèque de serveur RTSP LIVE555. Ce problème peut être exploité par des
attaquants distants pour provoquer lâ??exécution de code, en envoyant un paquet contrefait.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 2014.01.13-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets liblivemedia.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1582.data"
# $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la bibliothèque
JPEG-2000 JasPer.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5203";>CVE-2015-5203</a>
<p>Gustavo Grieco a découvert une vulnérabilité de dépassement dâ??entier qui
permet à des attaquants distants de provoquer un déni de service ou dâ??avoir un
autre impact non spécifié à l'aide d'un fichier dâ??image JPEG 2000 contrefait.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5221";>CVE-2015-5221</a>
<p>Josselin Feist a trouvé une vulnérabilité de double libération de zone de
mémoire qui permet à des attaquants distants de provoquer un déni de service
(plantage d'application) en traitant un fichier image malformé.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8690";>CVE-2016-8690</a>
<p>Gustavo Grieco a découvert une vulnérabilité de déréférencement de pointeur
NULL qui peut provoquer un déni de service à l'aide d'un fichier image BMP
contrefait. La mise à jour inclut des correctifs pour des problèmes en rapport
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8884";>CVE-2016-8884</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2016-8885";>CVE-2016-8885</a>
qui complètent le correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8690";>CVE-2016-8690</a>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-13748";>CVE-2017-13748</a>
<p>jasper ne libère pas correctement la mémoire utilisée pour stocker lâ??image de
tuile lorsque le décodage dâ??image échoue. Cela pourrait conduire à un déni de
service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14132";>CVE-2017-14132</a>
<p>Une lecture hors limites de tampon basé sur le tas a été découverte
concernant la fonction jas_image_ishomosamp qui pourrait être déclenchée Ã
l'aide d'un fichier image contrefait et causer un déni de service (plantage
d'application) ou avoir un autre impact non spécifié.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.900.1-debian1-2.4+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets jasper.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1583.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité distante de déni de service dans ruby-i18n,
une solution I18n et de régionalisation pour Ruby.</p>
<p>Un plantage d'application pourrait permettre de concevoir une situation où
«·:some_key·» est présent dans la structure «·keep_keys·» mais non présent dans
le hachage.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 0.6.9-2+deb8u1 de ruby-i18n.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ruby-i18n.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1584.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p> Il existait une vulnérabilité de script intersite (XSS) dans la bibliothèque
ruby-rack pour serveur web.</p>
<p>Une requête malveillante pourrait impacter le schéma HTTP/HTTPS renvoyé par
lâ??application sous-jacente.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.5.2-3+deb8u2 de ruby-rack.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ruby-rack.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1585.data"
# $Id: $
#use wml::debian::translation-check translation="fb36d8d30ef43fdd50a0075131d4387545f6daaa" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0735";>CVE-2018-0735</a>
<p>Samuel Weiser a signalé une vulnérabilité dâ??attaque temporelle dans la
génération de signature ECDSA dâ??OpenSSL qui pouvait laisser fuir des informations
permettant de récupérer la clef privée.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5407";>CVE-2018-5407</a>
<p>Alejandro Cabrera Aldaya, Billy Brumley, Sohaib ul Hassan, Cesar
Pereida Garcia et Nicola Tuveri ont signalé une vulnérabilité dâ??attaque
temporelle par canal auxiliaire qui peut être utilisée pour récupérer
la clef privée.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.0.1t-1+deb8u10.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1586.data"
# $Id: $
#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5297";>CVE-2015-5297</a>
<p>Dépassement numérique dans lâ??arithmétique de pointeur.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 0.32.6-3+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets pixman.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1587.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un dépassement de tampon a été découvert dans lâ??authentification du dorsal
dâ??URL de icecast2, le serveur populaire au code source ouvert de flux de médias.
Si le dorsal est activé, alors tout client HTTP malveillant peut envoyer une
requête pour une ressource particulière, incluant un en-tête contrefait qui peut
surcharger les contenus de pile du serveur, aboutissant à un déni de service et
éventuellement une exécution de code à distance.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 2.4.0-1.1+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets icecast2.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1588.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>keepalived possédait un dépassement de tampon basé sur le tas lors de
lâ??analyse des codes dâ??état HTTP. Cela menait à un déni de service ou
éventuellement à un autre impact non précisé, parce que extract_status_code dans
lib/html.c nâ??avait pas de validation du code dâ??état et à la place écrivait un
montant illimité de données dans le tas.</p>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1:1.2.13-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets keepalived.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1589.data"
# $Id: $
Reply to:
- Prev by Date:
[LCFC] wml://lts/security/2018/dla125{0,1,2,3,4,5,6,7,8,9}.wml
- Next by Date:
Re: [RFR] wml://lts/security/2018/dla-158{0..9}wml
- Previous by thread:
[RFR] ddp://release-notes/{installing,whats-new}.po
- Next by thread:
Re: [RFR] wml://lts/security/2018/dla-158{0..9}wml
- Index(es):