[RFR] wml://lts/security/2018/dla-14.{0..9}wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-14xx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-14xx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7651";>CVE-2017-7651</a>
 <p>Correctif pour éviter une consommation extraordinaire de mémoire par un
 paquet CONNECT contrefait dâ??un client non authentifié.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7652";>CVE-2017-7652</a>
 <p>Dans le cas où tous les descripteurs de sockets/fichier sont épuisés, il
 sâ??agit dâ??un correctif pour éviter des valeurs de configuration par défaut après
 le rechargement de configuration avec un signal SIGHUP.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.3.4-2+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mosquitto.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1409.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12872";>CVE-2017-12872</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-12868";>CVE-2017-12868</a>

<p>(1) La source dâ??authentification Htpasswd dans le module authcrypt et (2)
la classe SimpleSAML_Session dans SimpleSAMLphp 1.14.11 et précédents permettent
à des attaquants distants de mener des attaques temporelles par canal auxiliaire
en exploitant lâ??utilisation de lâ??opérateur de comparaison standard pour comparer
le document secret avec lâ??entrée de lâ??utilisateur.</p>

<p><a href="https://security-tracker.debian.org/tracker/CVE-2017-12868";>CVE-2017-12868</a>
concernait un correctif un correctif inapproprié de
<a href="https://security-tracker.debian.org/tracker/CVE-2017-12872";>CVE-2017-12872</a>
dans le correctif initial publié par lâ??amont. Nous avons utilisé le correctif
approprié.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.13.1-2+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets simplesamlphp.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1408.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans le serveur de base de données
MariaDB. Les vulnérabilités sont corrigées en mettant à niveau MariaDB vers la
nouvelle version 10.0.35 de lâ??amont. Veuillez consulter les notes de publication
de MariaDB 10.0 pour de plus amples détails :</p>

<ul>
 <li><url "https://mariadb.com/kb/en/mariadb/mariadb-10033-release-notes/";></li>
 <li><a href="https://mariadb.com/kb/en/mariadb/mariadb-10034-release-notes/";>https://mariadb.com/kb/en/mariadb/mariadb-10034-release-notes/</a></li>
 <li><a href="https://mariadb.com/kb/en/mariadb/mariadb-10035-release-notes/";>https://mariadb.com/kb/en/mariadb/mariadb-10035-release-notes/</a></li>
</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 10.0.35-0+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mariadb-10.0.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1407.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web
Firefox de Mozilla : plusieurs erreurs de sécurité de mémoire et autres erreurs
dâ??implémentation pourraient conduire à  l'exécution de code arbitraire, un déni
de service, une contrefaçon de requête intersite ou une divulgation
d'informations.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 52.9.0esr-1~deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1406.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Libgcrypt est prédisposé à une attaque locale par canal auxiliaire permettant
de récupérer les clefs privées ECDSA.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.6.3-2+deb8u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libgcrypt20.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1405.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12564";>CVE-2018-12564</a>
<p>En utilisant la fonction dâ??ajout dâ??URL dans la page soumise, un utilisateur
pourrait lire nâ??importe quel fichier sur le serveur, lisible par lavaserver et
constitué de YAML valable. Aussi, avec ce correctif, la fonction est de nouveau
désactivée.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 2014.09.1-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets lava-server.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1404.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4861";>CVE-2016-4861</a>
<p>Permet à des attaquants distants de mener des attaques par injection SQL en
exploitant une faille pour supprimer des commentaires dans une instruction SQL
avant validation.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.12.9+dfsg-2+deb8u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets cadriciel zen.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1403.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans exiv2, une bibliothèque C++
et un utilitaire en ligne de commande pour gérer les métadonnées dâ??image,
aboutissant à un déni de service, une lecture hors limites de tampon basé sur le
tas, un épuisement de mémoire et un plantage d'application.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 0.24-4.1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets exiv2.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1402.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Divers problèmes de sécurité ont été découverts dans Graphicsmagick, une
collection dâ??outils de traitement dâ??image. Un dépassement de tampon basé sur le
tas ou une lecture excessive pourraient conduire à un déni de service ou une
divulgation dâ??informations en mémoire ou à  un autre impact non précisé en
traitant un fichier dâ??image malformé.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.3.20-3+deb8u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1401.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise à jour de sécurité de Tomcat 7 annoncée sous DLA-1400-1 introduisait
une régression pour les applications utilisant le cadriciel Equinox OSGi. Le
fichier MANIFEST de tomcat-jdbc.jar dans libtomcat7-java contient un numéro de
version non valable qui dérivait automatiquement de la version de Debian du
paquet. Cela provoquait une exception OSGi.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 7.0.56-3+really7.0.88-2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1400-2.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans le Tomcat
servlet moteur de JSP and.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7674";>CVE-2017-7674</a>

<p>Le filtre CORS dans Apache Tomcat n'ajoutait pas d'en-tête « Vary » HTTP
indiquant que la réponse dépendait de lâ??origine. Cela pourrait conduire à 
l'empoisonnement du cache côtés client et serveur dans certaines circonstances.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12616";>CVE-2017-12616</a>

<p>Lors de lâ??utilisation de VirtualDirContext avec Tomcat dâ??Apache, il était
possible de contourner les contraintes de sécurité et/ou de voir le code source
de JSP pour des ressources servies par le VirtualDirContext en utilisant une
requête contrefaite pour l'occasion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1304";>CVE-2018-1304</a>

<p>Le modèle dâ??URL de "" (la chaîne vide) qui correspond exactement au contexte
du superutilisateur, nâ??était pas géré correctement dans Tomcat dâ??Apache
lorsquâ??utilisé comme partie de la définition de restriction. Cela faisait que la
restriction était ignorée. Il était, par conséquent, possible pour des
utilisateurs non autorisés dâ??acquérir lâ??accès aux ressources de lâ??application
web qui auraient dû être protégées. Seules les restrictions de sécurité avec
comme modèle dâ??URL la chaîne vide sont touchées.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1305";>CVE-2018-1305</a>

<p>Des restrictions de sécurité définies par des annotations de servlet dans
Tomcat dâ??Apache étaient seulement appliquées que lorsquâ??un servlet était chargé.
� cause des restrictions de sécurité définies de cette façon appliquées au modèle
dâ??URL et nâ??importe quelle URL en découlant, il était possible â?? en fonction
de lâ??ordre de chargement des servlets â?? que quelques restrictions de sécurité
ne soient appliquées. Cela pourrait avoir exposé des ressources à des
utilisateurs nâ??ayant pas de droit dâ??accès.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8014";>CVE-2018-8014</a>

<p>Les réglages par défaut pour le filtre CORS fourni dans Tomcat dâ??Apache ne
sont par sûrs et autorisent <q>supportsCredentials</q> pour toutes les origines.
Il était prévu que les utilisateurs du filtre CORS devaient lâ??avoir configuré de
manière appropriée à  leur environnement plutôt que de lâ??utiliser avec la
configuration par défaut. Par conséquent, il est espéré que la plupart des
utilisateurs nâ??étaient pas impactés par ce problème.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 7.0.56-3+really7.0.88-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p>

<p>Plus dâ??informations à  propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1400.data"
# $Id: $