[RFR] wml://lts/security/2017/dla-100{0-9}.wml
Bonjour,
ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour corrige plusieurs vulnérabilités dans imagemagick : divers
problèmes de traitement de mémoire et de cas de nettoyage manquant ou incomplet,
peut aboutir à un déni de service si des fichiers mal formés MNG, JNG, ICON,
PALM, MPC ou PDB sont traités.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 8:6.7.7.10-5+deb7u15.</p>
<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1000.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La prise en charge dâ??Exim utilise plusieurs arguments « -p » de ligne de
commande qui sont alloués « malloc() » et jamais libérés « free() », et, utilisé
en conjonction avec dâ??autres problèmes, permet à des attaquants de provoquer
une exécution de code arbitraire.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.80-7+deb7u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets exim4.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1001.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Sebastian Krahmer de SUSE a découvert que smb4k, un navigateur moderne de
partages Samba (SMB), contient un défaut de logique dans lequel le binaire
dâ??assistant de montage ne vérifie pas correctement la commande mount dont
lâ??exécution est demandée.</p>
<p>Cela permet des utilisateurs locaux dâ??appeler nâ??importe quel autre binaire
comme superutilisateur.</p>
<p>Le problème est résolu en rétroportant la version 1.2.1-2 de Debian 9
<q>Stretch</q>.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.2.1-2~deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets smb4k.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1002.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été signalé que unrar corrige un problème de corruption de mémoire
VMSF_DELTA dans sa dernière version, unrarsrc-5.5.5.tar.gz. Ce problème avait
été signalé à Sophos AV en 2012 mais nâ??était pas parvenu à lâ??amont de rar.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:4.1.4-1+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets unrar-nonfree.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1003.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Des fichiers privés téléversés par des utilisateurs anonymes mais non
liés définitivement à du contenu sur le site, devrait être visible seulement par
les utilisateurs anonymes à lâ??origine des téléversements, plutôt que par tous les
utilisateurs. Le noyau de Drupal ne fournissait pas cette protection, permettant
une vulnérabilité de contournement dâ??accès. Ce problème est réduit par le fait
que, pour que le site soit affecté, celui-ci doit permettre aux utilisateurs
anonymes de téléverser des fichiers dans un système de fichiers privé.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 7.14-2+deb7u16.</p>
<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1004.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Daans Mercurial avant la version 4.1.3, « hg serve --stdio » permet à des
utilisateurs distants authentifiés de lancer le débogueur de Python, et
par la suite exécuter du code arbitraire, en utilisant --debugger comme nom de
dépôt.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.2.2-4+deb7u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mercurial.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1005.data"
# $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de déni de service ont été identifiées dans
libarchive lors de la manipulation dâ??archives contrefaites pour l'occasion.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10209";>CVE-2016-10209</a>
<p>Déréférencement de pointeur NULL et plantage d'application dans la fonction
archive_wstring_append_from_mbs().</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10349";>CVE-2016-10349</a>
<p>Lecture hors limites de tampon basé sur le tas et plantage d'application dans
la fonction archive_le32dec().</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10350";>CVE-2016-10350</a>
<p>Lecture hors limites de tampon basé sur le tas et plantage d'application dans
la fonction archive_read_format_cab_read_header().</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.0.4-3+wheezy6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libarchive.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1006.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le client de courriel
Thunderbird de Mozilla : plusieurs erreurs de sécurité de mémoire, des
dépassements de tampon et dâ??autres erreurs dâ??implémentation pourraient conduire Ã
l'exécution de code arbitraire ou à une usurpation.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:52.2.1-1~deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets icedove.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1007.data"
# $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7375";>CVE-2017-7375</a>
<p>Validation absente dâ??entités externes dans xmlParsePEReference.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9047";>CVE-2017-9047</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-9048";>CVE-2017-9048</a>
<p>Un dépassement de tampon a été découvert dans libxml2
version 20904-GITv2.9.4-16-g0741801. La fonction xmlSnprintfElementContent dans
valid.c est supposée vider récursivement la définition du contenu de lâ??élément
dans un tampon char <q>buf</q> de taille <q>size</q>. La variable len est
assignée à strlen(buf). Si le content->type est XML_ELEMENT_CONTENT_ELEMENT,
alors (1) le content->prefix est joint à buf (si câ??est réellement adapté) à la
suite de quoi (2) content->name est écrit dans le tampon. Cependant, la
vérification pour si le content->name est réellement adapté utilise aussi
<q>len</q> plutôt que la taille du tampon mis à jour strlen(buf). Cela
permet dâ??écrire sur la <q>size</q> plusieurs octets au-delà de la mémoire
allouée. Cette vulnérabilité fait que les programmes utilisant libxml2, tels que
PHP, plantent.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9049";>CVE-2017-9049</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-9050";>CVE-2017-9050</a>
<p>libxml2 version 20904-GITv2.9.4-16-g0741801 est vulnérable à une lecture hors
limites de tampon basé sur le tas dans la fonction xmlDictComputeFastKey dans
dict.c. Cette vulnérabilité fait que les programmes utilisant libxml2, tels que
PHP, plantent. Cette vulnérabilité existe à cause dâ??un correctif incomplet pour
libxml2 (Bogue n° 759398).</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.8.0+dfsg1-7+wheezy8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libxml2.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1008.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le serveur HTTPD dâ??Apache. </p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3167";>CVE-2017-3167</a>
<p>Emmanuel Dreyfus a signalé que lâ??utilisation de ap_get_basic_auth_pw() par
des modules tiers en dehors de la phase dâ??authentification pourrait conduire au
contournement des exigences dâ??authentification.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3169";>CVE-2017-3169</a>
<p>Vasileios Panopoulos de AdNovum Informatik_AG a découvert que mod_ssl peut
déréférencer un pointeur NULL lorsque des modules tiers appellent
ap_hook_process_connection() lors dâ??une requête HTTP vers un port HTTPS
conduisant à un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7668";>CVE-2017-7668</a>
<p>Javier Jimenez a signalé que lâ??analyse stricte dâ??HTTP contient un défaut
conduisant à une lecture excessive de tampon dans ap_find_token(). Un attaquant
distant peut exploiter ce défaut en contrefaisant soigneusement une séquence
dâ??en-têtes de requête pour provoquer une erreur de segmentation, ou pour
obliger ap_find_token() Ã renvoyer une valeur incorrecte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7679";>CVE-2017-7679</a>
<p>ChenQin et Hanno Boeck a signalé que mod_mime can lit un octet de plus à la
fin du tampon lors de lâ??envoi dâ??un en-tête de réponse Content-Type malveillant.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.2.22-13+deb7u9.</p>
<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1009.data"
# $Id: $
Reply to:
- Prev by Date:
[LCFC] wml://lts/security/2016/dla-51{0,1,2,3,4,5,6,7,8,9}.wml
- Next by Date:
[RFR] wml://ports/hurd/hurd-devel-debian.wml
- Previous by thread:
[DONE] wml://lts/security/2016/dla-51{0,1,2,3,4,5,6,7,8,9}.wml
- Next by thread:
Re: [RFR] wml://lts/security/2017/dla-100{0-9}.wml
- Index(es):