[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2017/dla-83{0-9}.wml

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Quelques problèmes de gestion de mémoire ont été trouvés dans les greffons
<q>bad</q> de GStreamer :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5843";>CVE-2017-5843</a>

<p>Un problème dâ??utilisation de mémoire après libération été découvert dans
lâ??élément mxfdemux, qui pourrait être déclenché à l'aide d'un fichier
contrefait de manière malveillante.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5848";>CVE-2017-5848</a>

<p>psdemux était vulnérable à plusieurs lectures non valables, qui pourraient
être déclenchées à l'aide d'un fichier contrefait de manière malveillante.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.10.23-7.1+deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets gst-plugins-bad0.10.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-830.data"
# $Id: $

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Josef Gajdusek a découvert deux vulnérabilités dans gtk-vnc, un composant
graphique de visualisation VNC pour GTK :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5884";>CVE-2017-5884</a>

<p>Correction de vérification de limites pour les encodages RRE, hextile et
copyrec. Ce bogue permettait à un serveur distant de provoquer un déni de
service par dépassement de tampon à l'aide d'un message soigneusement contrefait
contenant des sous-rectangles en dehors de la zone de dessin.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5885";>CVE-2017-5885</a>

<p>Validation correcte des index de plage de carte de couleurs. Ce bogue
permettait à un serveur distant de provoquer un déni de service par dépassement
de tampon à l'aide d'un message soigneusement contrefait avec des valeurs de
couleur hors plage.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.5.0-3.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets gtk-vnc.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-831.data"
# $Id: $

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5668";>CVE-2017-5668</a>

<p>Correction pour le correctif incomplet pour le <q>déréférencement de
pointeur NULL avec une requête de transfert de fichier de contacts
inconnus</q> (bien que ce paquet nâ??était pas dans Wheezy avec le problème que
je mentionne ici. La correction a été réalisée avec le second correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2016-10189";>CVE-2016-10189</a>).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10189";>CVE-2016-10189</a>

<p>Déréférencement de pointeur NULL avec une requête de transfert de fichier
issue de contacts inconnus.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10188";>CVE-2016-10188</a>

<p>Désactivation de tout transfert entrant de fichier bitlbee. Cela concerne
nâ??importe quel protocole de libpurple utilisé à travers BitlBee. Cela ne
concerne pas les autres clients basés sur libpurple tels que pidgin.</p></li>

</ul>

<p> Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été résolus dans la
version 3.0.5-1.2+deb7u1</p> de bitlbee
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-832.data"
# $Id: $

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une élévation des privilèges, un déni de service ou
dâ??avoir dâ??autres impacts.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9888";>CVE-2014-9888</a>

<p>Russell King a trouvé que sur les systèmes ARM, la mémoire allouée pour les
tampons DMA était mappée avec la permission lâ??exécution. Cela facilitait
lâ??exploitation dâ??autres vulnérabilités dans le noyau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9895";>CVE-2014-9895</a>

<p>Dan Carpenter a trouvé que lâ??ioctl MEDIA_IOC_ENUM_LINKS sur des périphériques
de média aboutissait à une fuite d'informations.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6786";>CVE-2016-6786</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-6787";>CVE-2016-6787</a>

<p>Le sous-système « performance events » ne gère pas correctement les
verrouillages lors de certaines migrations, permettant à un attaquant local
d'augmenter ses droits. Cela peut être atténué en désactivant l'utilisation
non privilégiée de « performance events » :
sysctl kernel.perf_event_paranoid=3.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8405";>CVE-2016-8405</a>

<p>Peter Pi de Trend Micro a découvert que le sous-système de mémoire
d'image vidéo ne vérifie pas correctement les limites lors de la copie des
tables de couleurs dans l'espace utilisateur, provoquant une lecture hors
limites du tampon de tas, menant à la divulgation d'informations.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5549";>CVE-2017-5549</a>

<p>Le pilote de périphérique USB série KLSI KL5KUSB105 pourrait enregistrer
le contenu de mémoire du noyau non initialisée avec pour conséquence une
fuite d'informations.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6001";>CVE-2017-6001</a>

<p>Di Shen a découvert une situation de compétition entre des appels
parallèles au sous-système « performance events », permettant à un attaquant
local d'augmenter ses droits. Ce défaut existe à cause d'une correction
incomplète de <a href="https://security-tracker.debian.org/tracker/CVE-2016-6786";>CVE-2016-6786</a>.
Cela peut être atténué en désactivant l'utilisation non privilégiée de
« performance events » : sysctl kernel.perf_event_paranoid=3.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6074";>CVE-2017-6074</a>

<p>Andrey Konovalov a découvert une vulnérabilité d'utilisation de mémoire
après libération dans le code réseau DCCP qui pourrait avoir pour
conséquence un déni de service ou une augmentation de droits local. Sur les
systèmes où le module dccp n'a pas déjà été chargé, cela peut être atténué
en le désactivant :
echo >> /etc/modprobe.d/disable-dccp.conf install dccp false.</p></li>
</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 3.2.84-2.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 3.16.39-1+deb8u1 ou earlier.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-833.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de contrefaçon de requête coté serveur (SSRF) a été
signalée pour le script de configuration dans phpmyadmin, un outil
dâ??administration pour MYSQL. Ce défaut pouvait permettre à un attaquant non
authentifié de retrouver par force brute les mots de passe pour MYSQL, de
détecter les noms dâ??hôte internes et les ports ouverts sur le réseau interne. De
plus, il existait une situation de compétition entre lâ??écriture de configuration
et lâ??administrateur la modifiant, permettant à un utilisateur non authentifié de
le lire ou de le changer. Les utilisateurs de Debian qui configurent phpmyadmin à
lâ??aide de debconf et utilisent la configuration par défaut pour Apache 2 ou
Lighttpd nâ??ont jamais été affectés.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4:3.4.11.1-2+deb7u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets phpmyadmin.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-834.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dawid Golunski de legalhackers.com a découvert que cakephp, un cadriciel de
développement dâ??applications pour PHP, contenait une vulnérabilité qui
permettait à des attaquants dâ??usurper lâ??adresse IP de la source. Cela pourrait
leur permettre de contourner les listes de contrôle dâ??accès ou dâ??injecter des
données malveillantes qui, si traitées comme nettoyées par une application
inconsciente basée CakePHP, pourraient conduire à dâ??autres vulnérabilités telles
quâ??une injection SQL, un script intersite (XSS) ou une injection de commande.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.3.15-1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets cakephp.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-835.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Stevie Trujillo a découvert une vulnérabilité dâ??injection de commande dans
munin, un cadriciel pour des graphiques de réseau. Le script CGI pour le dessin
de graphiques permettait de passer des paramètres GET arbitraires à des
commandes dâ??interpréteur local, permettant une exécution de commande en tant
quâ??utilisateur exécutant le serveur web.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2.0.6-4+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets munin.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-836.data"
# $Id: $

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6197";>CVE-2017-6197</a>

<p>Les fonctions r_read_* dans libr/include/r_endian.h dans radare2 1.2.1
permettent à des attaquants distants de provoquer un déni de service
(déréférencement de pointeur NULL et plantage d'application) à l'aide d'un
fichier binaire contrefait, comme le montre la fonction r_read_le32.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 0.9-3+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets radare2.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-837.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Tobias Stoeckmann a découvert que su ne gérait pas correctement le nettoyage
dâ??un PID enfant. Un attaquant local peut exploiter ce défaut pour envoyer
SIGKILL à dâ??autres processus avec les droits du superutilisateur, aboutissant à
un déni de service.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.1.5.1-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets shadow.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-838.data"
# $Id: $

#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6307";>CVE-2017-6307</a>

<p>Un problème a été découvert dans tnef avant 1.4.13. Deux écritures hors
limites ont été relevées dans src/mapi_attr.c:mapi_attr_read(). Cela pourrait
conduire à des opérations de lecture et écriture non valables, contrôlées par
un attaquant.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6308";>CVE-2017-6308</a>

<p>Un problème a été découvert dans tnef avant 1.4.13. Plusieurs dépassements
d'entier, qui peuvent conduire à des dépassements de tas, ont été relevés dans
les fonctions que enveloppent lâ??allocation mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6309";>CVE-2017-6309</a>

<p>Un problème a été découvert dans tnef avant 1.4.13. Deux confusions de type
ont été relevées dans la fonction parse_file(). Cela pourrait conduire à des
opérations de lecture et écriture non valables, contrôlées par un attaquant.</p></li>


<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6310";>CVE-2017-6310</a>

<p>Un problème a été découvert dans tnef avant 1.4.13. Quatre confusions de type
ont été relevées dans la fonction file_add_mapi_attrs(). Cela pourrait conduire
à des opérations de lecture et écriture non valables, contrôlées par un
attaquant.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.4.9-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tnef.</p>

<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-839.data"
# $Id: $
Reply to: