[RFR] wml://lts/security/2017/dla-{924,993,1025,1087,1151,1166,1203}-2.wml

To: Debian-l10n French <debian-l10n-french@lists.debian.org>
Subject: [RFR] wml://lts/security/2017/dla-{924,993,1025,1087,1151,1166,1203}-2.wml
From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
Date: Sat, 25 Jan 2020 22:44:16 +0100
Message-id: <[🔎] 20200125224416.6dc253f1@debian>

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>Une rÃ©gression a Ã©tÃ© ajoutÃ©e par le correctif introduit dans la
versionÂ 0.5.0-2+deb7u2 pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2017-16927";>CVE-2017-16927</a>Â :
xrdp-sesman dÃ©marrait avec une erreur de segmentation dans libscp.</p>

<p>Pour DebianÂ 7 <q>Wheezy</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans
la versionÂ 0.5.0-2+deb7u3.</p>

<p>Nous vous recommandons de mettre Ã  jour vos paquets xrdp.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1203-2.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>Le correctif pour <a href="https://security-tracker.debian.org/tracker/CVE-2017-14990";>CVE-2017-14990</a>
publiÃ© sous DLA-1151-1 Ã©tait incomplet et causait une rÃ©gression. Il a Ã©tÃ©
dÃ©couvert quâ??une mise Ã  niveau et des modifications de code supplÃ©mentaires
seraient nÃ©cessaires. Actuellement, ces modifications sont considÃ©rÃ©es comme
trop intrusives et par consÃ©quent, le correctif original pour
<a href="https://security-tracker.debian.org/tracker/CVE-2017-14990";>CVE-2017-14990</a>
a Ã©tÃ© retirÃ©. Pour rÃ©fÃ©rence, le texte de lâ??annonce originale suit.</p>

<p>WordPress stocke en texte pur des valeurs de clef wp_signups.activation_key
(mais stocke les valeurs analogues wp_users.user_activation_key sous
forme de hachages), ce qui facilite pour des attaquants distants le dÃ©tournement
de comptes inactifs dâ??utilisateurs en exploitant lâ??accÃ¨s en lecture Ã  la base
de donnÃ©es (tel quâ??un accÃ¨s obtenu Ã  travers une vulnÃ©rabilitÃ© non prÃ©cisÃ©e
dâ??injection SQL).</p></li>

<p>Pour DebianÂ 7 <q>Wheezy</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans
la versionÂ 3.6.1+dfsg-1~deb7u19.</p>

<p>Nous vous recommandons de mettre Ã  jour vos paquets wordpress.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1151-2.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>

<p>La mise Ã  jour pour tomcat7, publiÃ©e sous DLA-1166-1, causait une rÃ©gression
par laquelle toute requÃªte, y compris pour le document racine (/), renvoyait
lâ??Ã©tat HTTPÂ 404. Les paquets mis Ã  jour sont maintenant disponibles pour corriger
ce problÃ¨me. Pour rÃ©fÃ©rence, le texte de lâ??annonce originale suit.</p>

<p>Lorsque HTTP PUT Ã©tait activÃ© (par exemple, Ã  lâ??aide du rÃ©glage du paramÃ¨tre
dâ??initialisation en lecture seule du servlet par dÃ©faut Ã  false), il
Ã©tait possible de tÃ©lÃ©verser un fichier JSP sur le serveur Ã  l'aide d'une
requÃªte contrefaite pour l'occasion. Ce JSP pourrait alors Ãªtre requis et tout
code quâ??il contenait serait exÃ©cutÃ© par le serveur.</p>

<p>Pour DebianÂ 7 <q>Wheezy</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans
la versionÂ 7.0.28-4+deb7u17.</p>

<p>Nous vous recommandons de mettre Ã  jour vos paquets tomcat7.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1166-2.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise Ã  jour pour icedove et thunderbird publiÃ©e sous DLA-1087-1 ne se
construisait pas sur i386. Cette mise Ã  jour corrige cela. Pour rÃ©fÃ©rence, le
texte de lâ??annonce originale suit.</p>

<p>Plusieurs problÃ¨mes de sÃ©curitÃ© ont Ã©tÃ© dÃ©couverts dans le client de courriel
Thunderbird de Mozilla. Plusieurs erreurs de sÃ©curitÃ© de mÃ©moire, des
dÃ©passements de tampon et dâ??autres erreurs dâ??implÃ©mentation pourraient conduire
Ã  l'exÃ©cution de code arbitraire ou Ã  une usurpation.</p>

<p>Pour DebianÂ 7 <q>Wheezy</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans
la versionÂ 1:52.3.0-4~deb7u2.</p>

<p>Nous vous recommandons de mettre Ã  jour vos paquets icedove.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1087-2.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise Ã  jour de sÃ©curitÃ© publiÃ©e sous DLA-1025-1 introduisait une
rÃ©gression dans bind9.</p>

<p>Le correctif pour <a href="https://security-tracker.debian.org/tracker/CVE-2017-3142";>CVE-2017-3142</a>
cassait la vÃ©rification de sÃ©quences de messages TCP signÃ©s TSIG oÃ¹ tous les
messages ne contenait pas dâ??enregistrements TSIG. Cela est conforme Ã  la
spÃ©cification et peut Ãªtre utilisÃ© dans des rÃ©ponses AXFR et IXFR.</p>

<p>Pour DebianÂ 7 <q>Wheezy</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans
la versionÂ 1:9.8.4.dfsg.P1-6+nmu2+deb7u18.</p>

<p>Nous vous recommandons de mettre Ã  jour vos paquets bind9.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1025-2.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise Ã  jour de sÃ©curitÃ© publiÃ©e sous DLA-993-1 causait une rÃ©gression pour
quelques applications utilisant Java, incluant jsvc, LibreOffice et Scilab, due
au correctif pour <a href="https://security-tracker.debian.org/tracker/CVE-2017-1000364";>CVE-2017-1000364</a>.
Les paquets mis Ã  jour sont maintenant disponibles pour corriger ce problÃ¨me.
Pour rÃ©fÃ©rence, la partie concernÃ©e du texte de lâ??annonce originale suit.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000364";>CVE-2017-1000364</a>

<p>Qualys Research Labs a dÃ©couvert que la taille de la page de protection
de pile (Â«Â stack guard pageÂ Â») n'est pas suffisamment grande. Le pointeur de
pile peut franchir la page de protection et passer de la pile Ã  un autre
espace mÃ©moire sans accÃ©der Ã  la page de protection. Dans ce cas aucune
exception de faute de page n'est levÃ©e et la pile s'Ã©tend dans l'autre
espace de la mÃ©moire. Un attaquant peut exploiter ce dÃ©faut pour une
augmentation de droits.</p>

<p>La protection d'espace de pile par dÃ©faut est rÃ©glÃ©e Ã  256Â pages et peut
Ãªtre configurÃ©e sur la ligne commande du noyau grÃ¢ce au paramÃ¨tre
stack_guard_gap du noyau.</p>

<p>Plus de dÃ©tails peuvent Ãªtre trouvÃ©s sur
<a href="https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt";>https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt</a></p></li>

</ul>

<p>Pour DebianÂ 7 <q>Wheezy</q>, ce problÃ¨me a Ã©tÃ© corrigÃ© dans
la versionÂ 3.2.89-2.</p>

<p>Pour DebianÂ 8 <q>Jessie</q>, ce problÃ¨me a Ã©tÃ© corrigÃ© dans
la versionÂ 3.16.43-2+deb8u2.</p>

<p>Pour DebianÂ 9 <q>Stretch</q>, ce problÃ¨me a Ã©tÃ© corrigÃ© dans
la versionÂ 4.9.30-2+deb9u2.</p>

<p>Nous vous recommandons de mettre Ã  jour vos paquets linux.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-993-2.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise Ã  jour de sÃ©curitÃ© pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise Ã  jour de sÃ©curitÃ©, publiÃ©e sous DLA-924-1, introduisait une
rÃ©gression dans le protocole APR de Tomcat due au correctif pour
 <a href="https://security-tracker.debian.org/tracker/CVE-2017-5647";>CVE-2017-5647</a>
et empÃªchait la rÃ©ussite dâ??une requÃªte dâ??envoi de fichier.</p>

<p>Pour DebianÂ 7 <q>Wheezy</q>, ces problÃ¨mes ont Ã©tÃ© corrigÃ©s dans
la versionÂ 7.0.28-4+deb7u13.</p>

<p>Nous vous recommandons de mettre Ã  jour vos paquets tomcat7.</p>

<p>Plus dâ??informations Ã  propos des annonces de sÃ©curitÃ© de Debian LTS, comment
appliquer ces mises Ã  jour dans votre systÃ¨me et les questions frÃ©quemment posÃ©es
peuvent Ãªtre trouvÃ©es surÂ : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-924-2.data"
# $Id: $

Reply to:

Follow-Ups:
- [LCFC] wml://lts/security/2017/dla-{924,993,1025,1087,1151,1166,1203}-2.wml
  - From: JP Guillonneau <guillonneau.jeanpaul@free.fr>

Prev by Date: Re: [RFR] wml://lts/security/2017/dla-8{19,23,36,39,41}.wml
Next by Date: Re: [LCFC] wml://lts/security/2017/dla-86{0-9}.wml
Previous by thread: [LCFC] wml://lts/security/2017/dla-8{19,23,36,39,41}-2.wml
Next by thread: [LCFC] wml://lts/security/2017/dla-{924,993,1025,1087,1151,1166,1203}-2.wml
Index(es):
- Date
- Thread