[RFR] wml://lts/security/2018/dla-145{0..9}wml

[JP Guillonneau]

Bonjour,

Ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-14xx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-14xx.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de traversée de répertoires dans cgit, une
interface web pour les dépôts Git.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été résolus dans la
version 0.10.2.git2.0.1-3+deb8u2 de cgit.</p>

<p>Nous vous recommandons de mettre à jour vos paquets cgit.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1459.data"
# $Id: $

#use wml::debian::translation-check translation="e0c304b76f11a690aabf7b1f4730579e7e925674" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>XML Security d’Apache pour la bibliothèque C++ ne réalisait par une validation
suffisante des « hints » KeyInfo. Cela pourrait aboutir à un déni de service à
l’aide d’un déréférencement de pointeur NULL lors du traitement de données XML
malformées.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.7.2-3+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets xml-security-c.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1458.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Le correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2018-10886";>CVE-2018-10886</a>
était incomplet dans l’envoi précédent. De nouvelles modifications ont été
implémentées par l’amont qui vérifient et résolvent les liens symboliques avant
de décompresser les archives.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.9.4-3+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ant.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1457.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Diverses vulnérabilités ont été découvertes dans graphicsmagick, une
collection d’outils de traitement d’image et de bibliothèques associées,
aboutissant à un déni de service, une divulgation d'informations et à une
variété de dépassements de tampon et lectures excessives.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.3.20-3+deb8u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1456.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans mutt, un agent de courriels
sophistiqué basé sur le texte, aboutissant à des défauts de déni de service, de
dépassement de pile, d’exécution de commandes arbitraires et de traversée de répertoires.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.5.23-3+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mutt.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1455.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Denis Andzakovic a découvert que network-manager-vpnc, un greffon de prise en
charge de VPNC pour NetworkManager, est prédisposé à une vulnérabilité
d’augmentation de droits. Un caractère de nouvelle ligne pouvait être utilisé
pour injecter un paramètre d’assistant de mot de passe dans les données de
configuration passées à vpnc, permettant à un utilisateur local avec privilèges
de modifier une connexion au système pour exécuter des commandes arbitraires
en tant que superutilisateur.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 0.9.10.0-1+deb8u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets network-manager-vpnc.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1454.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La vérification de nom d’hôte dans Tomcat lors de l’utilisation de TLS avec
le client WebSocket manquait. Elle est désormais activée par défaut.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 7.0.56-3+really7.0.90-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1453.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans wordpress, un outil de blog.
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5836";>CVE-2016-5836</a>

<p>L’implémentation du protocole oEmbed dans WordPress avant 4.5.3 permet à des
attaquants distants de provoquer un déni de service à l’aide de vecteurs non
précisés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12895";>CVE-2018-12895</a>

<p>Une vulnérabilité a été découverte dans Wordpress, un outil de blog. Elle
permettait à  des attaquants distants avec des rôles spécifiques d’exécuter du
code arbitraire.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 4.1+dfsg-1+deb8u18.</p>
<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1452.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-14339";>CVE-2018-14339</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2018-14340";>CVE-2018-14340</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2018-14341";>CVE-2018-14341</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2018-14342";>CVE-2018-14342</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2018-14343";>CVE-2018-14343</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2018-14368";>CVE-2018-14368</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2018-14369";>CVE-2018-14369</a>
<p>Dû à plusieurs défauts, différents dissecteurs pourraient entrer dans une
 boucle infinie ou pourraient être plantés par des paquets malveillants.</p></li>
</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.12.1+g01b65bf-4+deb8u15.</p>
<p>Nous vous recommandons de mettre à jour vos paquets wireshark.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1451.data"
# $Id: $

#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur de
servlet et JSP de Tomcat.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1304";>CVE-2018-1304</a>

<p>Le modèle d’URL de "" (la chaîne vide) qui correspond exactement au contexte
du superutilisateur, n’était pas géré correctement dans Tomcat d’Apache
lorsqu’utilisé comme partie de la définition de restriction. Cela faisait que la
restriction était ignorée. Il était, par conséquent, possible pour des
utilisateurs non autorisés d’acquérir l’accès aux ressources de l’application
web qui auraient dû être protégées. Seules les restrictions de sécurité avec
comme modèle d’URL la chaîne vide sont touchées.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1305";>CVE-2018-1305</a>

<p>Des restrictions de sécurité définies par des annotations de servlet dans
Tomcat d’Apache étaient seulement appliquées que lorsqu’un servlet était chargé.
À cause des restrictions de sécurité définies de cette façon appliquées au modèle
d’URL et n’importe quelle URL en découlant, il était possible — en fonction
de l’ordre de chargement des servlets — que quelques restrictions de sécurité
ne soient appliquées. Cela pourrait avoir exposé des ressources à des
utilisateurs n’ayant pas de droit d’accès.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 8.0.14-1+deb8u12.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tomcat8.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

</define-tag>

# do not modify le following line
#include "$(ENGLISHDIR)/lts/security/2018/dla-1450.data"
# $Id: $