[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2018/dla-131{0-9}.wml

Bonjour,

Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Divers problèmes ont été découverts dans exempi, une bibliothèque pour
analyser des métadonnées XMP qui pourraient causer un déni de service ou avoir
un autre impact non spécifié à lâ??aide de fichiers contrefaits.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18233";>CVE-2017-18233</a>

<p>Un dépassement dâ??entier dans la classe Chunk dans RIFF.cpp permet à des
attaquants distants de provoquer un déni de service (boucle infinie) à lâ??aide de
données XMP contrefaites dans un fichier .avi.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18234";>CVE-2017-18234</a>

<p>Un problème a été découvert qui permet à des attaquants distants pour
provoquer un déni de service (memcpy non valable résultant dans une utilisation
de mémoire après libération) ou éventuellement avoir un impact non précisé à
l'aide d'un fichier .pdf contenant des données JPEG.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18236";>CVE-2017-18236</a>

<p>La fonction ASF_Support::ReadHeaderObject dans ASF_Support.cpp permet à des
attaquants distants de provoquer un déni de service (boucle infinie) à l'aide
d'un fichier .asf contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18238";>CVE-2017-18238</a>

<p>La fonction TradQT_Manager::ParseCachedBoxes dans QuickTime_Support.cpp
permet à des attaquants distants de provoquer un déni de service (boucle
infinie) à lâ??aide de données XMP contrefaites dans un fichier .qt.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7728";>CVE-2018-7728</a>

<p>TIFF_Handler.cpp gère incorrectement un cas de longueur nulle, conduisant à
une lecture hors limites de tampon basé sur le tas dans la fonction MD5Update()
dans MD5.cpp.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7730";>CVE-2018-7730</a>

<p>Un certain cas de longueur 0xffffffff est mal géré dans PSIR_FileWriter.cpp,
conduisant à une lecture hors limites de tampon basé sur le tas dans la fonction
 PSD_MetaHandler::CacheFileData().</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.2.0-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets exempi.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1310.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait un exploit par contrefaçon de requête coté serveur (SSRF) dans
adminer, un outil dâ??administration de base de données basé sur le web.</p>

<p>Adminer permettait à des connexions non authentifiées dâ??être engagées dans
un système et des ports arbitraires. Cela pourrait contourner des pare-feux pour
identifier des hôtes internes ou réaliser un balayage de ports dâ??autres serveurs.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 3.3.3-1+deb7u1 de adminer.</p>

<p>Nous vous recommandons de mettre à jour vos paquets adminer.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1311.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Huzaifa Sidhpurwala a découvert quâ??une écriture en mémoire hors limites dans
le code dâ??analyse de codebook de la bibliothèque multimédia Libtremor pourrait
aboutir à l'exécution de code arbitraire si un fichier Vorbis mal formé est
ouvert.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.0.2+svn18153-0.2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libvorbisidec.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1312.data"
# $Id: $

#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans les client, relais et
serveur.

Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5732";>CVE-2018-5732</a>

<p>Felix Wilhelm de l'équipe de sécurité de Google a découvert que le client
DHCP est prédisposé à une vulnérabilité dâ??accès mémoire hors limites lors du
traitement de réponses dâ??option spécialement construite DHCP, aboutissant à
une exécution potentielle de code arbitraire par un serveur DHCP malveillant.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5733";>CVE-2018-5733</a>

<p>Felix Wilhelm de l'équipe de sécurité de Google a découvert que le serveur
DHCP ne gère pas correctement le comptage de références lors du traitement de
requêtes de client. Un client malveillant peut exploiter ce défaut pour
provoquer un déni de service (plantage de dhcpd) en envoyant une grande
quantité de trafic.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.2.2.dfsg.1-5+deb70u9.</p>

<p>Nous vous recommandons de mettre à jour vos paquets isc-dhcp.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1313.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cure53 a découvert que dans SimpleSAMLphp, dans de rares circonstances, une
signature non valable pour la liaison de redirection HTTP de SAML 2.0 HTTP
pourrait être considérée comme valable.</p>

<p>De plus, cette mise à jour corrige une régression introduite dans la DLA-1298
par le correctif rétroporté pour
SSA-201802-01/<a href="https://security-tracker.debian.org/tracker/CVE-2018-7644";>CVE-2018-7644</a>.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.9.2-1+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets simplesamlphp.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1314.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Daniel P. Berrange et Peter Krempa de Red Hat ont découvert un défaut dans
libvirt, une API de virtualisation. Un manque de restriction pour le montant
de lectures de données par la socket Monitor de QEMU peut conduire à un déni de
service par un épuisement de ressources mémoire.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.9.12.3-1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libvirt.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1315.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Wojciech ReguÅ?a a découvert que Freeplane, un programme pour travailler avec
des cartes heuristiques, était affecté par une vulnérabilité XML External Entity
(XXE) dans le chargeur de carte qui pourrait compromettre une machine
dâ??utilisateur en ouvrant un fichier de carte contrefait pour l'occasion.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.1.3-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets freeplane.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1316.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de corruption de tas dans le
cadriciel net-snmp qui échange des informations de gestion de serveur dans
un réseau.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 5.7.2.1+dfsg-1+deb8u1 de net-snmp.</p>


<p>Nous vous recommandons de mettre à jour vos paquets net-snmp.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1317.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait un problème dans le client IRC irssi où certains surnoms
pourraient aboutir dans un accès hors limites lors de lâ??impression de chaînes de
thème.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 0.8.15-5+deb7u6 dâ??irssi. Il était absent indûment de la publication de
la version 0.8.15-5+deb7u5 faisant  partie de la DLA-1289-1. Merci à Ben Hutchings
et Matus Uhlhar.</p>

<p>Nous vous recommandons de mettre à jour vos paquets irssi.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1318.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Richard Zhu et Huzaifa Sidhpurwala ont découvert quâ??une écriture en mémoire
hors limites lors de la lecture de fichiers Vorbis de média pourrait aboutir à
l'exécution de code arbitraire.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 52.7.2esr-1~deb7u1.</p>


<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1319.data"
# $Id: $
Reply to: