[RFR2] wml://lts/security/2018/dla-156{0..9}wml
Bonjour,
le dimanche 17 mars 16:02, Baptiste Jammet a écrit :
>Attention au espaces insécables (qui n'en sont pas) à l'intérieur des
>guillemets.
>
>dla-1562 : s/PD/PDF/
>dla-1566 : préférence personnelle pour
> -la nouvelle version 5.5.62 de l’amont
> +la nouvelle version amont 5.5.62
>dla-1567 :
> -https://gitlab.gnome.org/GNOME/gthumb/problèmes/18
> +https://gitlab.gnome.org/GNOME/gthumb/issues/18
erreur due au script de pré-traduction automatique.
>dla-1568 : fichier joint.
Merci, remarques toutes intégrées.
autre chance de commentaire.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Divers problèmes de sécurité ont été découverts dans poppler, la bibliothèque
partagée de rendu de PDF.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18267";>CVE-2017-18267</a>
<p>La fonction FoFiType1C::cvtGlyph dans fofi/FoFiType1C.cc dans Poppler
jusquâ??à  0.64.0 permet à des attaquants distants de provoquer un déni de service
(récursion infinie) à l'aide d'un fichier PDF contrefait, comme démontré par
pdftops.</p>
<p>Le correctif appliqué dans FoFiType1C::cvtGlyph empêche une récursion infinie
dans de tels documents malformés.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10768";>CVE-2018-10768</a>
<p>Un déréférencement de pointeur NULL dans la fonction
AnnotPath::getCoordsLength dans Annot.h dans Poppler 0.24.5 a été découvert. Une
entrée contrefaite pourrait conduire à attaque par déni de service distante. Les
versions suivantes de Poppler telles que 0.41.0 ne sont pas affectées.</p>
<p>Les rustines appliquées corrigent le plantage de AnnotInk::draw pour des
documents malformés.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-13988";>CVE-2018-13988</a>
<p>Poppler jusquâ??à 0.62 contient une vulnérabilité de lecture hors limites
due à un accès incorrect à la mémoire qui nâ??est pas mappé à son espace mémoire,
comme démonstré par pdfunite. Cela pourrait aboutir à une corruption de mémoire
et à un déni de service. Cela peut être exploitable quand une victime ouvre un
fichier PDF spécialement contrefait.</p>
<p>La rustine appliquée corrige le plantage quand un Object possède un nombre
négatif (les spécifications disent que le nombre doit être > 0 et gen >= 0).</p>
<p>Pour Poppler dans Debian Jessie, le correctif original de lâ??amont a été
rétroporté vers lâ??ancienne API Object de Poppler.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16646";>CVE-2018-16646</a>
<p>Dans Poppler 0.68.0, la fonction Parser::getObj() dans Parser.cc peut causer
une récursion infinie à l'aide d'un fichier contrefait. Un attaquant distant
peut exploiter cela pour une attaque par déni de service.</p>
<p>Une série de correctifs de lâ??amont a été appliquée à XRef.cc de Poppler dans
Debian Jessie pour parfaire la correction de ce problème.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.26.5-2+deb8u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets poppler.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1562.data"
# $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans le serveur de base de données
MySQL. Les vulnérabilités sont corrigées en mettant à niveau MySQL vers la
nouvelle version amont 5.5.62 de lâ??amont, qui inclut des modifications
supplémentaires. Veuillez consulter les notes de publication de MySQL 5.5 et les
annonces de correctif critique pour mise à niveau dâ??Oracle pour de plus amples
détails :</p>
<ul>
<li><url "https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-61.html";></li>
<li><a href="https://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html";>https://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html</a></li>
<li><a href="https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-62.html";>https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-62.html</a></li>
<li><a href="https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html";>https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html</a></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 5.5.62-0+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mysql-5.5.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1566.data"
# $Id: $
#use wml::debian::translation-check translation="e03db691eef0bf1e048da79524a1cbc851b57faf" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-18718";>CVE-2018-18718</a>
â?? CWE-415 : double libération
<p>Le produit appelle deux fois free() pour la même adresse de mémoire,
conduisant éventuellement à une modification dâ??emplacements de mémoire
inattendus.</p>
<p>Il existe un bogue de double libération suspecte de zone de mémoire avec
static void add_themes_from_dir() dlg-contact-sheet.c. Cette méthode implique
deux appels successifs à g_free(tampon) (ligne 354 et 373), et il est probable
que cela provoque une double libération de zone de mémoire du tampon. Un
correctif possible pourrait être dâ??assigner directement le tampon à NULL après
le premier appel à g_free(tampon). Merci à Tianjun Wu
<a href="https://gitlab.gnome.org/GNOME/gthumb/issues/18";>https://gitlab.gnome.org/GNOME/gthumb/issues/18</a></p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 3:3.3.1-2.1+deb8u.</p>
<p>Nous vous recommandons de mettre à jour vos paquets gthumb.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1567.data"
# $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de
transfert dâ??URL.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7141";>CVE-2016-7141</a>
<p>Lorsque construite avec NSS et que la bibliothèque libnsspem.so est
disponible au moment de lâ??exécution, cela permet à un attaquant distant de détourner
lâ??authentification dâ??une connexion TLS en exploitant la réutilisation dâ??un
certificat de client précédemment chargé à partir dâ??un fichier pour une
connexion nâ??ayant aucun certificat de défini, une vulnérabilité différente
de <a href="https://security-tracker.debian.org/tracker/CVE-2016-5420";>CVE-2016-5420</a>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7167";>CVE-2016-7167</a>
<p>Plusieurs dépassement d'entiers dans les fonctions (1) curl_escape, (2)
curl_easy_escape, (3) curl_unescape et (4) curl_easy_unescape dans libcurl
permettent à des attaquants dâ??avoir un impact non précisé à l'aide d'un chaîne
de longueur 0xffffffff, déclenchant un dépassement de tampon basé sur le tas.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9586";>CVE-2016-9586</a>
<p>Curl est vulnérable à un dépassement de tampon lorsque produisant une grande
sortie à virgule flottante dans lâ??implémentation des fonctions
printf() de libcurl. Sâ??il existe une application qui accepte une chaîne de formatage
de lâ??extérieur sans filtrage nécessaire dâ??entrée, cela pourrait permettre des
attaques distantes.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16839";>CVE-2018-16839</a>
<p>Curl est vulnérable à un dépassement de tampon dans le code d'authentification
SASL qui pourrait conduire à un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-16842";>CVE-2018-16842</a>
<p>Curl est vulnérable à une lecture hors limites de tampon basé sur le tas
dans la fonction tool_msgs.c:voutf() qui pourrait aboutir à une exposition
dâ??informations et un déni de service.</p></li>
</ul>
<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u13.</p>
<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1568.data"
# $Id: $
Reply to: