[RFR2] wml://lts/security/2018/dla-158{0..9}wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

le jeudi 14 mars 18:31, Baptiste Jammet a écrit :

>Quelques restes du DDTP, corrections et suggestions.

merci, tout intégré.

Autre chance de commentaire.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que systemd est sujet à plusieurs vulnérabilités de
sécurité, allant dâ??attaques par déni de service à  une possible augmentation de
droits à ceux du superutilisateur.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1049";>CVE-2018-1049</a>

<p>Une situation de compétition existe entre les unités .mount et .automount de
sorte que les requêtes automount du noyau pourraient ne pas être servies par
systemd, menant à  ce que le noyau bloque le point de montage jusqu'à  ce que nâ??importe
quel processus essayant dâ??utiliser ce <q>mount</q> gèlent. Une situation de
compétition comme celle-ci pourrait conduire à  un déni de service, jusquâ??à  ce
que les points de montage soient démontés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-15686";>CVE-2018-15686</a>

<p>Une vulnérabilité dans unit_deserialize de systemd permet à un attaquant de
fournir un état arbitraire à  travers une réexécution de systemd à  lâ??aide de
NotifyAccess. Cela peut être utilisé pour influencer improprement lâ??exécution de
systemd et éventuellement une augmentation de droits à ceux du
superutilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-15688";>CVE-2018-15688</a>

<p>Une vulnérabilité de dépassement de tampon dans le client dhcp6 systemd
permet à un serveur dhcp6 malveillant de surcharger la mémoire de tas dans
systemd-networkd, qui nâ??est pas activé par défaut dans Debian.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 215-17+deb8u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets systemd.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1580.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans uriparser, une bibliothèque
dâ??analyse dâ??identifiants normalisés (URI).</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19198";>CVE-2018-19198</a>

<p>UriQuery.c permet une écriture hors limites à l'aide d'une fonction
uriComposeQuery* ou uriComposeQueryEx* parce que le caractère « &amp; » est mal
géré dans certains contextes.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19199";>CVE-2018-19199</a>

<p>UriQuery.c permet un dépassement d'entier à l'aide d'une fonction
 uriComposeQuery* ou uriComposeQueryEx* à  cause dâ??une absence de vérification
de multiplication.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-19200";>CVE-2018-19200</a>

<p>UriCommon.c permet des tentatives dâ??opérations pour une entrée NULL à  l'aide
d'une fonction uriResetUri*.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.8.0.1-2+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets uriparser.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1581.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la bibliothèque
JPEG-2000 JasPer.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5203";>CVE-2015-5203</a>

<p>Gustavo Grieco a découvert une vulnérabilité de dépassement dâ??entier qui
permet à  des attaquants distants de provoquer un déni de service ou dâ??avoir un
autre impact non spécifié à  l'aide d'un fichier dâ??image JPEG 2000 contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5221";>CVE-2015-5221</a>

<p>Josselin Feist a trouvé une vulnérabilité de double libération de zone de
mémoire qui permet à des attaquants distants de provoquer un déni de service
(plantage d'application) en traitant un fichier image malformé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8690";>CVE-2016-8690</a>

<p>Gustavo Grieco a découvert une vulnérabilité de déréférencement de pointeur
NULL qui peut provoquer un déni de service à l'aide d'un fichier image BMP
contrefait. La mise à jour inclut des correctifs pour des problèmes en rapport
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8884";>CVE-2016-8884</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2016-8885";>CVE-2016-8885</a>
qui complètent le correctif pour
 <a href="https://security-tracker.debian.org/tracker/CVE-2016-8690";>CVE-2016-8690</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-13748";>CVE-2017-13748</a>

<p>jasper ne libère pas correctement la mémoire utilisée pour stocker lâ??image de
tuile lorsque le décodage dâ??image échoue. Cela pourrait conduire à  un déni de
service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14132";>CVE-2017-14132</a>

<p>Une lecture hors limites de tampon basé sur le tas a été découverte
concernant la fonction jas_image_ishomosamp qui pourrait être déclenchée à 
l'aide d'un fichier image contrefait et causer un déni de service (plantage
d'application) ou avoir un autre impact non spécifié.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.900.1-debian1-2.4+deb8u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jasper.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1583.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité distante de déni de service dans ruby-i18n,
une solution d'internationalisation et de régionalisation pour Ruby.</p>

<p>Un plantage d'application pourrait permettre de concevoir une situation où
« :some_key » est présent dans la structure « keep_keys » mais non présent dans
le hachage.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 0.6.9-2+deb8u1 de ruby-i18n.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ruby-i18n.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1584.data"
# $Id: $