Bonjour, Ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité a été découverte dans SPICE avant la version 0.14.1 où le code utilisé pour la désérialisation (demarshalling) de messages manquait de vérification de limites. Un serveur ou client malveillant, après authentification, pourrait envoyer des messages contrefaits pour l'occasion à son pair. Cela pourrait aboutir à un plantage ou, éventuellement, à dâautres impacts.</p> <p>Le problème a été corrigé par lâamont en abandonnant avec une erreur si le pointeur vers le début de données de message est strictement plus grand que le pointeur vers la fin des données du message.</p> <p>Le problème ci-dessus et le correctif ont déjà été annoncés pour le paquet <q>spice</q> de Debian (DLA-1486-1 [1]). Cette annonce concerne le paquet «·spice-gtk·» de Debian (qui intègre quelque copie de code du paquet <q>spice</q>, où le correctif devait être appliqué).</p> <p>[1] <a href="https://lists.debian.org/debian-lts-announce/2018/08/msg00037.html";>https://lists.debian.org/debian-lts-announce/2018/08/msg00037.html</a></p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 0.25-1+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets spice-gtk.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1489.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité a été découverte dans SPICE avant la version 0.14.1 où le code utilisé pour la désérialisation (demarshalling) de messages manquait de vérification de limites. Un serveur ou client malveillant, après authentification, pourrait envoyer des messages contrefaits pour l'occasion à son pair. Cela pourrait aboutir à un plantage ou, éventuellement, à dâautres impacts.</p> <p>Le problème a été corrigé par lâamont en abandonnant avec une erreur si le pointeur vers le début de données de message est strictement plus grand que le pointeur vers la fin des données du message.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 0.12.5-1+deb8u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets spice.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1488.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-14622";>CVE-2018-14622</a> <p>Correction pour une erreur de segmentation due à un pointeur devenant NULL.</p> </ul> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 0.2.5-1+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libtirpc.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1487.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité a été découverte dans SPICE avant la version 0.14.1 où le code utilisé pour la désérialisation (demarshalling) de messages manquait de vérification de limites. Un serveur ou client malveillant, après authentification, pourrait envoyer des messages contrefaits pour l'occasion à son pair. Cela pourrait aboutir à un plantage ou, éventuellement, à dâautres impacts.</p> <p>Le problème a été corrigé par lâamont en abandonnant avec une erreur si le pointeur vers le début de données de message est strictement plus grand que le pointeur vers la fin des données du message.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 0.12.5-1+deb8u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets spice.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1486.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5740";>CVE-2018-5740</a> <p>La fonction «·deny-answer-aliases·» dans BIND possède un défaut qui peut conduire named à se terminer avec une erreur dâassertion.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1:9.9.5.dfsg-9+deb8u16.</p> <p>Nous vous recommandons de mettre à jour vos paquets bind9.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1485.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait un certain nombre de vulnérabilités de script intersite (XSS) dans le client de messagerie web squirrelmail.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2:1.4.23~svn20120406-2+deb8u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets squirrelmail.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1484.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10871";>CVE-2018-10871</a> <p>Par défaut, nsslapd-unhashed-pw-switch était réglé à <q>on</q>. Donc une copie du mot de passe non chiffré était conservée dans les modificateurs et était éventuellement enregistrée dans le journal de modifications et retroChangeLog.</p> <p>à moins dâêtre utilisé par quelque greffon, il ne requiert pas de conserver des mots de passe non chiffrés. Lâoption nsslapd-unhashed-pw-switch est désormais <q>off</q> par défaut.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10935";>CVE-2018-10935</a> <p>Nâimporte quel utilisateur authentifié faisant une recherche en utilisant ldapsearch avec des contrôles étendus pour une sortie côté serveur, pourrait mettre à bas le serveur LDAP lui-même.</p> <p>La correction est de vérifier si nous sommes capables dâindexer la valeur fournie. Si nous ne le sommes pas, alors slapd_qsort renvoie une erreur (LDAP_OPERATION_ERROR).</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.3.3.5-4+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets 389-ds-base.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1483.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts dans libx11, lâinterface du client de système X·Window. Les fonctions XGetFontPath, XListExtensions et XListFonts sont vulnérables à un contournement par dépassement dâentier lors de réponses de serveur malveillant. Un tel serveur pourrait aussi envoyer une réponse dans laquelle la première chaîne déborde, faisant quâune variable soit réglée à NULL, qui soit libérée plus tard, aboutissant à une erreur de segmentation et un déni de service. La fonction XListExtensions dans ListExt.c interprète une variable comme signée au lieu de non signée, aboutissant à une écriture hors limites (jusquâà 128 octets), aboutissant à un déni de service ou éventuellement à lâexécution de code à distance.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2:1.6.2-3+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libx11.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1482.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs chercheurs ont découvert une vulnérabilité dans la manière dont la conception du processeur Intel a implémenté lâexécution spéculative dâinstructions en combinaison avec le traitement dâerreur de page. Ce défaut pourrait permettre à un attaquant contrôlant un processus sans droits de lire la mémoire à partir dâadresses arbitraires (contrôlées par un non utilisateur), incluant celles du noyau et de tous les autres processus en cours dâexécution sur le système ou traverser les limites invité/hôte pour lire la mémoire de lâhôte.</p> <p>Pour complètement remédier à ces vulnérabilités, il est aussi nécessaire dâinstaller le microcode du CPU (seulement disponible dans Debian non-free). Les CPU courants de la classe serveur sont couverts par la mise à jour publiée avec DLA 1446-1.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4.9.110-3+deb9u4~deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets linux-4.9.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1481.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Ruby 2.1.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2337";>CVE-2016-2337</a> <p>Une confusion de type existe dans la méthode de classe _cancel_eval de TclTkIp de Ruby. Un attaquant passant un type différent dâobjet de String comme argument <q>retval</q> peut causer lâexécution de code arbitraire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000073";>CVE-2018-1000073</a> <p>RubyGems contient une vulnérabilité de traversée de répertoires dans la fonction install_location de package.rb qui pourrait aboutir à une traversée de répertoires lors de lâécriture dans un basedir lié symboliquement, en dehors de la racine.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000074";>CVE-2018-1000074</a> <p>RubyGems contient une vulnérabilité de désérialisation de données non fiables dans la commande owner qui peut aboutir à lâexécution de code. Cette attaque semble être exploitable à lâaide de la victime devant exécuter la commande <q>gem owner</q> sur un gem avec un fichier YAML contrefait pour lâoccasion.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2.1.5-2+deb8u5.</p> <p>Nous vous recommandons de mettre à jour vos paquets ruby2.1.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1480.data" # $Id: $
