Bonjour, Ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-14xx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-14xx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux problèmes ont été découverts dans OpenSSL, la boîte à outils associée à SSL (Secure Socket Layer).</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0732";>CVE-2018-0732</a> <p>Déni de service par un serveur malveillant envoyant une première valeur très large au client lors de lâinitialisation de connexion TLS.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0737";>CVE-2018-0737</a> <p>Alejandro Cabrera Aldaya, Billy Brumley, Cesar Pereida Garcia et Luis Manuel Alvarez Tapia ont découvert que lâalgorithme de génération de clef RSA dâOpenSSL a été démontré être vulnérable à une attaque temporelle sur le cache. Un attaquant avec accès suffisant pour monter de telles attaques durant le processus de génération pourrait récupérer la clef privée.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.0.1t-1+deb8u9.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssl.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1449.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait une vulnérabilité de déni de service dans policykit-1, un cadriciel pour gérer les politiques administratives et les privilèges.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été résolus dans la version 0.105-15~deb8u3 de policykit-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets policykit-1.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1448.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité de dépassement dâentier a été découverte dans libidn, la bibliothèque GNU pour les noms de domaine internationalisés (IDNs), dans son traitement de Punycode (caractères Unicode vers encodage ASCII), permettant à un attaquant distant de provoquer un déni de service à lâencontre dâapplications utilisant la bibliothèque.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1.29-1+deb8u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets libidn.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1447.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Des chercheurs en sécurité ont identifié deux méthodes dâanalyse logicielle qui, si utilisées dans des buts malveillants, ont le potentiel de rassembler improprement des données sensibles à partir de plusieurs types de périphériques informatiques avec des processeurs de fournisseurs différents et de systèmes dâexploitation différents.</p> <p>Cette mise à jour nécessite une mise à jour du paquet intel-microcode, qui nâest pas libre. Les utilisateurs ayant déjà installé la version de Jessie-backports-sloppy nâont nul besoin de mettre à niveau.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-3639";>CVE-2018-3639</a> <p>Speculative Store Bypass (SSB) â aussi connu comme Variante 4</p> <p>Les systèmes avec des microprocesseurs utilisant lâexécution spéculative et lâexécution spéculative de lectures de mémoire avant que les adresses de toutes les écritures en mémoire antérieures soient connues, pourraient permettre une divulgation non autorisée dâinformations à un attaquant avec un accès utilisateur local à l'aide d'une analyse par canal auxiliaire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-3640";>CVE-2018-3640</a> <p>Rogue System Register Read (RSRE) â aussi connu comme Variante 3a</p> <p>Les systèmes avec des microprocesseurs utilisant lâexécution spéculative et qui réalisent des lectures spéculatives de registres du système pourraient permettre une divulgation non autorisée de paramètres du système à un attaquant avec un accès utilisateur local à l'aide d'une analyse par canal auxiliaire.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.20180703.2~deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets intel-microcode.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1446.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Busybox, programmes dâutilitaires pour des systèmes petits et embarqués, était affecté par plusieurs vulnérabilité de sécurité. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2011-5325";>CVE-2011-5325</a> <p>Une vulnérabilité de traversée de répertoires a été découverte dans lâimplémentation par Busybox de tar. Tar extrait un lien symbolique pointant en dehors du répertoire de travail en cours et puis suit ce lien symbolique lors de lâextraction dâautres fichiers. Cela permet une attaque de traversée de répertoires lors de lâextraction dâarchives tar non fiables.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1813";>CVE-2013-1813</a> <p>Lorsque un nÅud de périphérique ou un lien symbolique dans /dev doit être créé à lâintérieur dâun sous-répertoire niveau deux ou plus (/dev/dir1/dir2.../nÅud), les répertoires intermédiaires sont créés avec des permissions incorrectes.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4607";>CVE-2014-4607</a> <p>Une dépassement d'entier peut se produire lors du traitement de toute variante de <q>literal run</q> dans la fonction lzo1x_decompress_safe. Chacun de ces trois emplacements est susceptible dâun dépassement d'entier lors du traitement de zéro octet. Cela expose le code copiant les <q>literal</q> à une corruption de mémoire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9645";>CVE-2014-9645</a> <p>La fonction add_probe dans modutils/modprobe.c dans BusyBox permet à des utilisateurs locaux de contourner les restrictions voulues lors du chargement de modules de noyau à l'aide d'un caractère / (slash) dans un nom de module, comme démontré par une commande « ifconfig /usbserial up » ou « mount -t /snd_pcm none / ».</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2147";>CVE-2016-2147</a> <p>Un dépassement dâentier dans le client DHCP (udhcpc) dans BusyBox permet à des attaquants distants de provoquer un déni de service (plantage) à l'aide d'un nom de domaine malformé, encodé selon RFC-1035, qui déclenche une écriture de tas hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2148";>CVE-2016-2148</a> <p>Un dépassement de tampon basé sur le tas dans le client DHCP (udhcpc) dans BusyBox permet à des attaquants distants dâavoir un impact non précisé à lâaide de vecteurs impliquant lâanalyse de OPTION_6RD.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15873";>CVE-2017-15873</a> <p>La fonction get_next_block dans archival/libarchive /decompress_bunzip2.c dans BusyBox est sujette à un dépassement dâentier qui pourrait conduire à une violation dâaccès en lâécriture.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16544";>CVE-2017-16544</a> <p>Dans la fonction add_match dans libbb/lineedit.c dans BusyBox, le fonction dâautocomplètement tab de lâinterpréteur, utilisé pour obtenir une liste de noms de fichier dâun répertoire, ne vérifie pas les noms de fichier et aboutit dans lâexécution de nâimporte quelle séquence dâéchappement dans le terminal. Cela pourrait éventuellement aboutir à lâexécution de code, lâécriture de fichiers arbitraires ou dâautres attaques.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000517";>CVE-2018-1000517</a> <p>BusyBox contient une vulnérabilité de dépassement de tampon de Busybox wget pouvant aboutir dans un dépassement de tampon basé sur le tas. Cette attaque semble être exploitable à lâaide de la connectivité réseau.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-9621";>CVE-2015-9621</a> <p>La décompression dâun fichier zip spécialement contrefait aboutit dans le calcul dâun pointeur non valable et un plantage en lisant une adresse non valable.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1:1.22.0-9+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets busybox.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1445.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-11319";>CVE-2018-11319</a> <p>Le traitement incorrect de recherche de fichiers de configuration peut être exploité pour lâexécution de code arbitraire à l'aide d'un greffon gcc malveillant.</p></li> </ul> <p>For Debian 8 <q>Jessie</q>, ce problème a été corrigé dans version 3.5.0-1+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets vim-syntastic.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1444.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait une erreur dâimplémentation du protocole dans evolution-data-server où des erreurs <q>STARTTLS not supported</q> à partir de serveurs IMAP étaient ignorées, conduisant à lâutilisation de connexions non sécurisées sans le savoir ou consentement de lâutilisateur.</p> <p>For Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 3.12.9~git20141128.5242b0-2+deb8u4 dâevolution-data-server.</p> <p>Nous vous recommandons de mettre à jour vos paquets evolution-data-server.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1443.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux défauts ont été découverts dans mailman, un gestionnaire de liste de diffusion basé sur le web.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0618";>CVE-2018-0618</a> <p>Toshitsugu Yoneyama de Mitsui Bussan Secure Directions, Inc. a découvert que mailman est prédisposé à un défaut de script intersite permettant à un détendeur de liste malveillant dâinjecter des scripts dans la page listinfo, à cause dâune entrée non vérifiée dans le champ host_name.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-13796";>CVE-2018-13796</a> <p>Hammad Qureshi a découvert une vulnérabilité dâusurpation de contenu avec des messages non valables de nom de liste dans lâinterface web.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1:2.1.18-2+deb8u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets mailman.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1442.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité a été découverte dans Sympa, un gestionnaire de liste de diffusion moderne, qui permettait un accès en écriture de fichiers dans le système de fichiers du serveur. Ce défaut permet de créer ou modifier nâimporte quel fichier modifiable par lâutilisateur de Sympa, situé dans le système de fichiers du serveur, en utilisant la fonction dâenregistrement de fichier de modèle de lâinterface web de Sympa.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 6.1.23~dfsg-2+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets sympa.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1441.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Le paquet libarchive-zip-perl est vulnérable à une attaque de traversée de répertoires dans Archive::Zip. Il a été découvert que le module Archive::Zip ne vérifiait pas correctement les chemins lors de lâextraction de fichiers zip. Un attaquant capable de fournir une archive contrefaite pour l'occasion à traiter pourrait utiliser ce défaut pour écrire ou surcharger des fichiers arbitraires dans le contexte de lâinterpréteur Perl.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1.39-1+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libarchive-zip-perl.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1440.data" # $Id: $
