[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2018/dla-130{0-9}.wml



Bonjour,

Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans lâ??hyperviseur Xen, qui
pourraient aboutir à un déni de service, une fuite d'informations ou une
élévation des privilèges.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.1.6.lts1-13.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xen.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1300.data"
# $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur de
servlet Java Tomcat et le moteur JSP.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1304";>CVE-2018-1304</a>

<p>Le modèle dâ??URL de "" (chaîne vide), qui correspond exactement au contexte
du superutilisateur, nâ??était pas géré correctement dans Tomcat dâ??Apache
lorsquâ??il était utilisé comme partie de la définition de restriction. Cela
faisait que la restriction était ignorée. Il était, par conséquent, possible
pour des utilisateurs non autorisés dâ??acquérir lâ??accès aux ressources de
lâ??application web qui auraient dû être protégées. Seules les restrictions de
sécurité avec comme modèle dâ??URL une chaîne vide sont touchées.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1305";>CVE-2018-1305</a>

<p>Des restrictions de sécurité définies par des annotations de servlet dans
Tomcat dâ??Apache étaient seulement appliquées que lorsquâ??un servlet était chargé.
� cause des restrictions de sécurité définies de cette façon appliquées au modèle
dâ??URL et nâ??importe quelle URL en découlant, il était possible â?? en fonction
de lâ??ordre de chargement des servlets â?? que quelques restrictions de sécurité
ne soient appliquées. Cela pourrait avoir exposé des ressources à des
utilisateurs nâ??ayant pas de droit dâ??accès.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 7.0.28-4+deb7u18.</p>


<p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1301.data"
# $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Différents défauts ont été découverts dans leptonlib, une bibliothèque de
traitement dâ??image.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7186";>CVE-2018-7186</a>

<p>Leptonica ne limitait pas le nombre de caractères dans lâ??argument de
format %s pour fscanf ou sscanf, ce qui rendait possible pour des attaquants
distants de provoquer un déni de service (un dépassement de pile) ou
éventuellement dâ??avoir un impact non précisé à l'aide d'une longue chaîne.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7440";>CVE-2018-7440</a>

<p>La fonction gplotMakeOutput permettait une injection de commande à l'aide
d'une approche $(command) dans lâ??argument rootname de gplot. Ce problème existe
à cause dâ??un correctif incomplet pour
<a href="https://security-tracker.debian.org/tracker/CVE-2018-3836";>CVE-2018-3836</a>.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.69-3.1+deb7u2.</p>


<p>Nous vous recommandons de mettre à jour vos paquets leptonlib.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1302.data"
# $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs fonctions étaient extrêmement lentes pour évaluer certaines entrées
à cause de vulnérabilités de retour arrière désastreux dans plusieurs
expressions rationnelles.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7536";>CVE-2018-7536</a>

<p>La fonction django.utils.html.urlize() étaient extrêmement lentes pour
évaluer certaines entrées à cause de vulnérabilités de retour arrière
désastreux dans deux expressions rationnelles. La fonction urlize() est
utilisée pour mettre en Å?uvre les filtres de modèle urlize and urlizetrunc, qui
donc étaient vulnérables.</p>

<p>Les expressions rationnelles problématiques sont remplacées par une logique
dâ??analyse qui se comporte de manière similaire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7537";>CVE-2018-7537</a>

<p>Si les méthodes chars() et words() de django.utils.text.Truncator étaient
passées avec lâ??argument html=True, elles étaient extrêmement lentes à évaluer
certaines entrées à cause dâ??une vulnérabilité de retour sur trace désastreux
dans une expression rationnelle. Les méthodes chars() et words() sont utilisées
pour mettre en Å?uvre les filtres de modèle truncatechars_html et
truncatewords_html, qui donc étaient vulnérables.</p>

<p>Le problème de retour sur trace dans les expressions rationnelles est
corrigé.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.4.22-1+deb7u4.</p>


<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1303.data"
# $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>plusieurs vulnérabilités ont été découvertes dans lâ??interpréteur de commandes
<q>zsh</q>.</p>

<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-10070";>CVE-2014-10070</a>
<p>Correction dâ??un problème dâ??élévation des privilèges si lâ??environnement
nâ??avait pas été correctement nettoyé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-10071";>CVE-2014-10071</a>
<p>Prévention dâ??un dépassement de tampon pour de très longs descripteurs de
fichier dans la syntaxe <q>&gt;&amp; fd</q>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-10072";>CVE-2014-10072</a>
<p>Correction dâ??un dépassement de tampon lors de lâ??analyse de très longs chemins
de répertoire pour les liens symboliques.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10714";>CVE-2016-10714</a>
<p>Correction dâ??une erreur due à un décalage d'entier aboutissant à des tampons
sous-dimensionnés prévus pour prendre en charge PATH_MAX.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18206";>CVE-2017-18206</a>
<p>Correction un dépassement de tampon dans lâ??expansion de lien symbolique.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 4.3.17-1+deb7u1 de zsh.</p>

<p>Nous vous recommandons de mettre à jour vos paquets zsh.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1304.data"
# $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans ClamAV, un moteur au code
source ouvert dâ??antivirus.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0202";>CVE-2018-0202</a>

<p>ClamAV ne traitait pas certains fichiers PDF correctement, en relation avec
un dépassement de tas. Des PDF spécialement contrefaits pourraient faire planter
ClamAV, aboutissant à un déni de service ou éventuellement à une exécution de
code arbitraire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000085";>CVE-2018-1000085</a>

<p>Hanno Böck a découvert que ClamAV ne traitait pas les fichiers XAR
correctement. Des fichiers XAR malformés pourraient faire planter ClamAV à cause
dâ??une lecture de tas hors limites. Cela pourrait aboutir à un déni de service.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.99.4+dfsg-1+deb7u1.</p>


<p>Nous vous recommandons de mettre à jour vos paquets clamav.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1307.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de déréférencement de pointeur fonction NULL
dans vips, un système de traitement dâ??image pour de très grandes images.</p>

<p>Des attaquants distants pourraient causer un déni de service à l'aide d'un
fichier dâ??image spécialement contrefait, survenant à cause dâ??une situation de
compétition impliquant un chargement dâ??image défectueux et dâ??autres processus
légers dâ??instance.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 7.28.5-1+deb7u2 de vips.</p>

<p>Nous vous recommandons de mettre à jour vos paquets vips.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1306.data"
# $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Ming.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5251";>CVE-2018-5251</a>

<p>Vulnérabilité dâ??erreur dâ??entier signé (décalage à gauche dâ??une valeur
négative) dans la fonction readSBits (util/read.c). Des attaquants distants
pourraient exploiter cette vulnérabilité pour provoquer un déni de service à
l'aide d'un fichier SWF contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5294";>CVE-2018-5294</a>

<p>Vulnérabilité de dépassement dâ??entier (causé par à un décalage à gauche hors
intervalle) dans la fonction readUInt32 (util/read.c). Des attaquants distants
pourraient exploiter cette vulnérabilité pour provoquer un déni de service à
l'aide d'un fichier SWF contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6315";>CVE-2018-6315</a>

<p>Dépassement dâ??entier et lecture hors limites résultante dans la fonction
outputSWF_TEXT_RECORD (util/outputscript.c). Des attaquants distants pourraient
exploiter cette vulnérabilité pour provoquer un déni de service ou un autre
impact non précisé à l'aide d'un fichier SWF contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6359";>CVE-2018-6359</a>

<p>Vulnérabilité dâ??utilisation après libération dans la fonction decompileIF
(util/decompile.c). Des attaquants distants pourraient exploiter cette
vulnérabilité pour provoquer un déni de service ou un autre impact non précisé
à l'aide d'un fichier SWF contrefait.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.4.4-1.1+deb7u7.</p>


<p>Nous vous recommandons de mettre à jour vos paquets ming.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1305.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web
Firefox de Mozilla : plusieurs erreurs de sécurité de mémoire et autres erreurs
dâ??implémentation pourraient conduire à l'exécution de code arbitraire ou à un
déni de service.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 52.7.1esr-1~deb7u1.</p>


<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1308.data"
# $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été trouvées dans cURL, une URL bibliothèque de
transfert dâ??URL.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000120";>CVE-2018-1000120</a>

<p>Duy Phan Thanh a signalé que curl pourrait être dupé pour écrire un octet
vide hors limites lorsquâ??il lui était demandé de travailler avec une URL FTP,
avec le réglage de produire une commande de CWD unique. Le problème pourrait être
déclenché si la partie répertoire de lâ??URL contenait une séquence « %00 ».</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000121";>CVE-2018-1000121</a>

<p>Dario Weisser a découvert que curl pourrait déréférencer une adresse
proche de NULL lors de la réception d'une URL LDAP. Un serveur malveillant
envoyant une réponse spécialement contrefaite pourrait provoquer le plantage des
applications utilisant les URL LDAP en se reposant sur libcurl.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000122";>CVE-2018-1000122</a>

<p>OSS-fuzz et Max Dymond ont trouvé que curl pourrait être entraîné à copier
des données au-delà de la fin de son tampon de tas quand il est appelé à
transférer une URL RTSP. Curl pourrait calculer une mauvaise longueur de données
à copier du tampon de lecture. Cela pourrait conduire à une fuite d'informations
ou à un déni de service.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 7.26.0-1+wheezy25.</p>


<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1309.data"
# $Id: $

Reply to: