[RFR] wml://lts/security/2017/dla-{884,1034}.wml
Bonjour,
ces dernières (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans PHP (PHP, acronyme récursif :
Hypertext Preprocessor), un langage de script généraliste au source libre
couramment utilisé, particulièrement adapté pour le développement web et pouvant
être incorporé dans du HTML.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10397">CVE-2016-10397</a>
<p>Un traitement incorrect de divers composants URI dans l'analyseur dâ??URL
pourrait être utilisé par des attaquants pour contourner des vérifications dâ??URL
particulières au nom dâ??hôte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11143">CVE-2017-11143</a>
<p>Une libération non valable dans la désérialisation de paramètres
booléens WDDX pourrait être utilisée par des attaquants capables dâ??injecter du
XML dans la désérialisation pour planter lâ??interpréteur PHP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11144">CVE-2017-11144</a>
<p>Le code PEM de garantie de lâ??extension openssl ne vérifiait pas la valeur de
renvoi de la fonction « sealing » dâ??OpenSSL, ce qui pourrait conduire à un
plantage de lâ??interpréteur PHP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11145">CVE-2017-11145</a>
<p>Le manque de vérifications de limites dans le code dâ??analyse de lâ??extension
de date timelib_meridian, pourrait être utilisé par des attaquants capables de
fournir des chaînes de date pour divulguer des informations de lâ??interpréteur.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11147">CVE-2017-11147</a>
<p>Le gestionnaire dâ??archive PHAR pourrait être utilisé par des attaquants
fournissant des fichiers dâ??archive malveillants pour planter lâ??interpréteur PHP
ou, éventuellement, pour divulguer des informations à cause
dâ??une lecture excessive de tampon dans la fonction phar_parse_pharfile dans
ext/phar/phar.c.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 5.4.45-0+deb7u9.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>
<p>Plus dâ??informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1034.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il a été découvert quâ??il existait une vulnérabilité de boucle infinie dans
collectd, un démon de supervision et de collectage de statistiques.</p>
<p>Lorsque une <q>Signature part</q> correcte est reçue par une instance
configurée sans lâ??option AuthFile, une boucle infinie apparait dans la
routine parse_packet à cause dâ??une incrémentation manquante de pointeur pour la
prochaine partie non traitée.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 5.1.0-3+deb7u3 de collectd.</p>
<p>Nous vous recommandons de mettre à jour vos paquets collectd.</p>
</define-tag>
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-884.data"
# $Id: $
Reply to: