Bonjour, Ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-13xx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-13xx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux défauts ont été découverts dans ruby-passenger pour la prise en charge de Ruby Rails et Rack qui permettaient à des attaquants dâusurper des en-têtes HTTP ou exploiter une situation de compétition pour une élévation des privilèges sous certaines conditions possibles.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7519";>CVE-2015-7519</a> <p>Des attaquants distants pourraient usurper des en-têtes passés à des applications en utilisant un caractère de soulignement au lieu dâun tiret dans un en-tête HTTP comme démontré avec un en-tête X_User.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12029";>CVE-2018-12029</a> <p>Une vulnérabilité a été découverte par lâéquipe Pulse Security. Elle était exploitable seulement lors de lâexécution de passenger_instance_registry_dir non standard, à l'aide d'un situation de compétition où après un fichier était créé, il existait une fenêtre dans laquelle il pouvait être remplacé par un lien symbolique avant dâêtre « chowned » à lâaide du chemin et pas avec le descripteur de fichier. Si la cible du lien symbolique était un fichier qui devait être exécuté par root tel quâun fichier crontab, alors une élévation des privilèges était possible. Cela est maintenant limité par lâutilisation de fchown().</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4.0.53-1+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets ruby-passenger.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1399.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Dans Horde-Crypt, une bibliothèque de chiffrement faisant partie du cadriciel PHP Horde, une injection de commande était possible lorsquâun utilisateur dâHorde utilisait les fonctions PGP pour visualiser un courriel chiffré.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2.5.0-5+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets php-horde-crypt.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1398.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été trouvés dans PHP, un langage de script polyvalent au code source ouvert largement utilisé.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7584";>CVE-2018-7584</a> <p>Un dépassement de tampon de pile lors de lâanalyse de réponses HTTP aboutissait en une copie dâune large chaîne et une possible corruption de mémoire ou un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10545";>CVE-2018-10545</a> <p>Les processus fils FPM déchargeables permettaient le contournement des contrôles d'accès d'opcache aboutissant à une divulgation potentielle d'informations où un utilisateur peut obtenir des informations sur dâautres applications PHP exécutées par un autre utilisateur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10546";>CVE-2018-10546</a> <p>Une séquence non valable dâoctets peut déclencher une boucle infinie dans le filtre de flux convert.iconv.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10547";>CVE-2018-10547</a> <p>Une correction précédente pour <a href="https://security-tracker.debian.org/tracker/CVE-2018-5712";>CVE-2018-5712</a> pourrait ne pas être complète, conduisant à une vulnérabilité supplémentaire sous la forme dâun XSS réfléchi dans les pages dâerreur 403 et 404 de PHAR.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10548";>CVE-2018-10548</a> <p>Un serveur LDAP distant malveillant peut envoyer une réponse contrefaite qui peut causer un déni de service (déréférencement de pointeur NULL aboutissant à un plantage d'application).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10549";>CVE-2018-10549</a> <p>Un fichier JPEG contrefait peut causer une lecture hors limites et un dépassement de tampon basé sur le tas.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 5.6.36+dfsg-0+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets php5.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1397.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait un certain nombre de vulnérabilités dans redis, une base de données clé-valeur persistante.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-11218";>CVE-2018-11218</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2018-11219";>CVE-2018-11219</a> <p>Plusieurs vulnérabilités de corruption de tas et dépassement d'entier. (n° 901495)</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12326";>CVE-2018-12326</a> <p>Dépassement de tampon dans lâoutil « redis-cli » qui aurait pu permettre à un attaquant de réaliser une exécution de code ou dâobtenir des privilèges supérieurs à l'aide d'une ligne de commande contrefaite (n° 902410)</p></li> </ul> <p> Pour Debian 8 <q>Jessie</q>, ces problèmes ont été résolus dans la version 2:2.8.17-1+deb8u6 de redis.</p> <p>Nous vous recommandons de mettre à jour vos paquets redis.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1396.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités dâexécution de code à distance dans php-horde-image, la bibliothèque de traitement d'images pour la suite de travail collaboratif Horde <url "https://www.horde.org/";>.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9774";>CVE-2017-9774</a> <p>Une vulnérabilité dâexécution de code à distance (RCE) qui était exploitable par un utilisateur connecté envoyant une requête GET HTTP contrefaite et malveillante à divers dorsaux dâimage.</p> <p>Remarquez que le correctif appliqué en amont possède une régression en ce quâil ignore lâoption <q>force aspect ratio</q>. Consulter <a href="https://github.com/horde/Image/pull/1";>https://github.com/horde/Image/pull/1</a>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14650";>CVE-2017-14650</a> <p>Une autre RCE qui était exploitable par un utilisateur connecté envoyant une requête GET contrefaite et malveillante au dorsal <q>im</q> dâimage.</p></li> </ul> <p> Pour Debian 8 <q>Jessie</q>, ces problèmes ont été résolus dans la version 2.1.0-4+deb8u1 de php-horde-image.</p> <p>Nous vous recommandons de mettre à jour vos paquets php-horde-image.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1395.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans ImageMagick, un programme de manipulation dâimage, qui permettent à des attaquants distants de provoquer un déni de service (plantage d'application) ou un accès en mémoire hors limites à lâaide de fichiers dâimage SUN, BMP, ou DIB contrefaits.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 8:6.8.9.9-5+deb8u13.</p> <p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1394.data" # $Id: $
#use wml::debian::translation-check translation="3afca7403160a4e1b75b5a1beab6f497f9fc230e" maintainer="Jean-Paul Guillonneau" <define-tag description>Fin de vie de la prise en change à long terme de Debian 7</define-tag> <define-tag moreinfo> <p> Lâéquipe Debian de prise en charge à long terme (LTS) par la présente annonce que la prise en charge de Debian 7 « Wheezy » a atteint sa fin de vie le 31 mai 2018, cinq ans après sa première publication le 4 mai 2013. </p> <p> Debian ne fournira plus de mise à jour de sécurité pour Debian 7. Un sous-ensemble de paquets de Wheezy sera pris en charge par des parties tierces. Des informations détaillées peuvent être trouvées sur [Extended LTS]. </p> <p> Lâéquipe LTS prépare la transition vers Debian 8 « Jessie » qui est lâactuelle publication « oldstable ». Lâéquipe LTS se substituera à lâéquipe de Sécurité pour la prise en charge le 17 juin 2018. </p> <p> Debian 8 recevra une prise en charge à long terme pendant cinq ans après sa publication initiale jusquâau 30 juin 2020. Les architectures concernées incluent amd64, i386, armel et armhf. </p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1393.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1093";>CVE-2018-1093</a> <p>Wen Xu a signalé qu'une image contrefaite de système de fichiers ext4 pourrait déclencher une lecture hors limites dans la fonction ext4_valid_block_bitmap(). Un utilisateur local capable de monter des systèmes de fichiers arbitraires pourrait utiliser cela pour un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1130";>CVE-2018-1130</a> <p>Le logiciel syzbot a trouvé que lâimplémentation de DCCP de sendmsg() ne vérifie pas lâétat de socket, conduisant éventuellement à un déréférencement de pointeur NULL. Un utilisateur local pourrait utiliser cela pour provoquer un déni de service (plantage).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8897";>CVE-2018-8897</a> <p>Nick Peterson de Everdox Tech LLC a découvert que les exceptions #DB qui étaient différées par MOV SS ou POP SS n'étaient pas correctement gérées, permettant à un utilisateur non privilégié de planter le noyau et de provoquer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10940";>CVE-2018-10940</a> <p>Dan Carpenter a signalé que le pilote de disque optique (cdrom) ne validait pas correctement le paramètre pour lâioctl CDROM_MEDIA_CHANGED. Un utilisateur ayant accès à un périphérique cdrom pourrait utiliser cela pour provoquer un déni de service (plantage).</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 3.2.102-1. Cette version inclut aussi des corrections de bogue de la version 3.2.102 amont, comprenant un correctif pour une régression dans lâimplémentation de SCTP pour la version 3.2.101.</p> <p>Nous vous recommandons de mettre à jour vos paquets linux.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1392.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans la bibliothèque libtiff et les outils inclus qui pourrait aboutir à un déni de service:</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11613";>CVE-2017-11613</a> <p>Vulnérabilité de déni de service dans la fonction TIFFOpen. Une entrée contrefaite peut conduire à une attaque par déni de service et peut aussi planter le système ou déclencher le tueur OOM.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5784";>CVE-2018-5784</a> <p>Consommation de ressources incontrôlée dans la fonction TIFFSetDirectory de src/libtiff/tif_dir.c, qui peut causer un déni de service à lâaide dâun fichier tif contrefait.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.0.2-6+deb7u21.</p> <p>Nous vous recommandons de mettre à jour vos paquets tiff.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1391.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Le Qualys Research Labs a découvert plusieurs vulnérabilités dans procps, un ensemble dâutilitaires en ligne de commande et en mode plein écran pour parcourir procfs. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1122";>CVE-2018-1122</a> <p>top lisait sa configuration à partir du répertoire de travail courant si aucun $HOME n'était configuré. Si top était lancé à partir d'un répertoire accessible en écriture par l'attaquant (tel que /tmp), cela pouvait avoir pour conséquence une augmentation de droits locale.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1123";>CVE-2018-1123</a> <p>Un déni de service à l'encontre de l'invocation de ps par un autre utilisateur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1124";>CVE-2018-1124</a> <p>Un dépassement d'entier dans la fonction file2strvec() de libprocps pourrait avoir pour conséquence une augmentation de droits locale.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1125";>CVE-2018-1125</a> <p>Un dépassement de pile dans pgrep pourrait avoir pour conséquence un déni de service pour un utilisateur se servant de pgrep pour inspecter un processus contrefait pour l'occasion.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1126";>CVE-2018-1126</a> <p>Des paramètres incorrects de taille d'entier utilisés dans des enveloppes pour des allocateurs C standard pourraient provoquer une troncature d'entier et mener à des problèmes de dépassement d'entier.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1:3.3.3.3+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets procps.</p> <p>Lâéquipe LTS de Debian souhaite remercier Abhijith PA pour la préparation de cette mise à jour.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1390.data" # $Id: $
