Bonjour, trois nouvelles annonces de sécurité viennent d'être publiées. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>jackson-databind, une bibliothèque Java utilisée pour l'analyse de JSON et d'autres formats de données, ne validait pas correctement les entrée de l'utilisateur avant de tenter la désérialisation. Cela permettait à un attaquant de réaliser l'exécution de code en fournissant une entrée contrefaite.</p>
<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 2.4.2-2+deb8u3.</p> <p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2.8.6-1+deb9u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets jackson-databind.</p> <p>Pour disposer d'un état détaillé sur la sécurité de jackson-databind, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/jackson-databind";>\ https://security-tracker.debian.org/tracker/jackson-databind</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2018/dsa-4114.data" # $Id: dsa-4114.wml,v 1.1 2018/02/16 00:18:22 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans les bibliothèques du codec de compression audio Vorbis, qui pourraient avoir pour conséquence un déni de service ou l'exécution de code arbitraire lors du traitement d'un fichier média mal formé.</p> <p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.3.5-4+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libvorbis.</p> <p>Pour disposer d'un état détaillé sur la sécurité de libvorbis, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/libvorbis";>\ https://security-tracker.debian.org/tracker/libvorbis</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2018/dsa-4113.data" # $Id: dsa-4113.wml,v 1.1 2018/02/16 00:18:22 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17563";>CVE-2017-17563</a> <p>Jan Beulich a découvert qu'une vérification incorrecte de dépassement de compte de références dans le mode « shadow » de x86 peut avoir pour conséquence un déni de service ou une augmentation de droits.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17564";>CVE-2017-17564</a> <p>Jan Beulich a découvert qu'un traitement incorrect d'erreur de compte de références dans le mode « shadow » de x86 peut avoir pour conséquence un déni de service ou une augmentation de droits.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17565";>CVE-2017-17565</a> <p>Jan Beulich a découvert qu'une vérification incomplète de bogue dans le traitement du mode « log-dirty » de x86 peut avoir pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17566";>CVE-2017-17566</a> <p>Jan Beulich a découvert que les clients PV de x86 peuvent obtenir un accès à des pages à usage interne qui pourrait avoir pour conséquence un déni de service ou une potentielle augmentation de droits.</p></li> </ul> <p>En complément, cette mise à jour fournit le « shim » <q>Comet</q> pour traiter les vulnérabilités de type Meltdown pour les clients avec des noyaux PV anciens. Le paquet fournit en plus l'atténuation <q>Xen PTI stage 1</q> qui est intégrée et activée par défaut sur les systèmes Intel mais peut être désactivée avec l'option « xpti=false » sur la signe de commande de l'hyperviseur (Cela n'a pas de sens d'utiliser à la fois xpti et le « shim » Comet.)</p> <p>Veuillez consulter l'URL suivante pour plus de détails sur la manière de configurer des stratégies individuelles d'atténuation : <a href="https://xenbits.xen.org/xsa/advisory-254.html";>\ https://xenbits.xen.org/xsa/advisory-254.html</a></p> <p>Des informations supplémentaires peuvent être trouvées dans README.pti et README.comet.</p> <p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.8.3+comet2+shim4.10.0+comet3-1+deb9u4.1.</p> <p>Nous vous recommandons de mettre à jour vos paquets xen.</p> <p>Pour disposer d'un état détaillé sur la sécurité de xen, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/xen";>\ https://security-tracker.debian.org/tracker/xen</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2018/dsa-4112.data" # $Id: dsa-4112.wml,v 1.1 2018/02/16 00:18:22 jipege1-guest Exp $
