Bonjour, quatre nouvelles annonces de sécurité viennent d'être publiées. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le serveur de courrier électronique Dovecot. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>
<ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14461";>CVE-2017-14461</a> <p>Aleksandar Nikolic de Cisco Talos et <q>flxflndy</q> ont découvert que Dovecot n'analysait pas correctement les adresses de courrier électronique non valables, ce qui peut provoquer un plantage ou la divulgation de contenus de mémoire à un attaquant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15130";>CVE-2017-15130</a> <p>Les recherches de configuration TLS SNI pourraient conduire à une utilisation de la mémoire excessive, faisant que la limite de la VSZ de imap-login/pop3-login soit atteinte et que le processus redémarre, avec pour conséquence un déni de service. Seules les configurations de Dovecot contenant les blocs de configuration <code>local_name { }</code> ou <code>local { }</code> sont affectées.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15132";>CVE-2017-15132</a> <p>Dovecot renferme un défaut de fuite de mémoire dans le processus de connexion lors d'une authentification SASL interrompue.</p></li> </ul> <p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1:2.2.13-12~deb8u4.</p> <p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1:2.2.27-3+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets dovecot.</p> <p>Pour disposer d'un état détaillé sur la sécurité de dovecot, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/dovecot";>https://security-tracker.debian.org/tracker/dovecot</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2018/dsa-4130.data" # $Id: dsa-4130.wml,v 1.1 2018/03/04 14:56:17 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs lectures hors limites de tampon de tas ont été découvertes dans freexl, une bibliothèque pour lire les feuilles de calcul de Microsoft Excel, qui pourraient avoir pour conséquence un déni de service.</p> <p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1.0.0g-1+deb8u5.</p> <p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.0.2-2+deb9u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets freexl.</p> <p>Pour disposer d'un état détaillé sur la sécurité de freexl, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/freexl";>\ https://security-tracker.debian.org/tracker/freexl</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2018/dsa-4129.data" # $Id: dsa-4129.wml,v 1.1 2018/03/04 14:56:17 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Traffic Server d'Apache, un serveur mandataire inverse et de réacheminement. Elles pourraient conduire à l'utilisation d'un mandataire amont incorrect, ou permettre à un attaquant distant de provoquer un déni de service par plantage de l'application.</p> <p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 7.0.0-6+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets trafficserver.</p> <p>Pour disposer d'un état détaillé sur la sécurité de trafficserver, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/trafficserver";>\ https://security-tracker.debian.org/tracker/trafficserver</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2018/dsa-4128.data" # $Id: dsa-4128.wml,v 1.1 2018/03/04 14:56:17 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans SimpleSAMLphp, une infrastructure d'authentification, principalement au moyen du protocole SAML.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12867";>CVE-2017-12867</a> <p>Des attaquants dotés d'un accès à un jeton secret pourraient étendre sa période de validité en manipulant le décalage de temps ajouté.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12869";>CVE-2017-12869</a> <p>Lors de l'utilisation du module multiauth, des attaquants peuvent contourner des restrictions de contexte d'authentification et utiliser n'importe quelle source d'authentification définie dans la configuration.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12873";>CVE-2017-12873</a> <p>Des mesures de défense ont été prises pour empêcher l'administrateur de mal configurer des NameID persistants pour éviter un conflit d'identifiant (n'affecte que Debian 8 Jessie).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12874";>CVE-2017-12874</a> <p>Le module InfoCard pourrait accepter des messages XML incorrectement signés dans de rares occasions.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18121";>CVE-2017-18121</a> <p>Le module consentAdmin était vulnérable à une attaque de script intersite, permettant à un attaquant de fabriquer des liens qui pourraient exécuter du code JavaScript arbitraire dans le navigateur de la victime.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18122";>CVE-2017-18122</a> <p>L'implémentation (obsolète) de SAML 1.1 pourrait considérer comme valable n'importe quelle réponse SAML non signée contenant plus d'une assertion signée, sous réserve que la signature d'au moins une des assertions soit valable, permettant à un attaquant, qui pourrait obtenir une assertion valable signée d'un fournisseur d'identité (IdP), d'usurper l'identité d'utilisateurs de cet IdP.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6519";>CVE-2018-6519</a> <p>Déni de service d'expression rationnelle lors de l'analyse d'horodatages extrêmement longs.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6521";>CVE-2018-6521</a> <p>Modification du jeu de caractères MySQL du module sqlauth d'utf8 à utf8mb pour éviter une troncature théorique de requête qui pourrait permettre à des attaquants distants de contourner les restrictions d'accès voulues.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7644";>CVE-2018-7644</a> <p>Vulnérabilité critique de validation de signature.</p></li> </ul> <p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1.13.1-2+deb8u1.</p> <p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.14.11-1+deb9u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets simplesamlphp.</p> <p>Pour disposer d'un état détaillé sur la sécurité de simplesamlphp, veuillez consulter sa page de suivi de sécurité à l'adresse : <a href="https://security-tracker.debian.org/tracker/simplesamlphp";>\ https://security-tracker.debian.org/tracker/simplesamlphp</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2018/dsa-4127.data" # $Id: dsa-4127.wml,v 1.1 2018/03/04 14:56:17 jipege1-guest Exp $
