Bonjour, Ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-13xx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-13xx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation de la plateforme Java dâOracle, aboutissant à un déni de service, un accès non autorisé, un contournement du bac à sable ou une injection dâen-tête HTTP.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 7u171-2.6.13-1~deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openjdk-7.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1339.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait une vulnérabilité dâélévation des privilèges dans beep, un <q>avertisseur moderne pour haut-parleur dâordinateur</q>.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 1.3-3+deb7u1 de beep.</p> <p>Nous vous recommandons de mettre à jour vos paquets beep.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1338.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été trouvées dans le cadriciel de gestion de paquets rubygems, incorporé dans JRuby, une implémentation en Java pur du langage de programmation Ruby.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000075";>CVE-2018-1000075</a> <p>Une vulnérabilité de taille négative dans lâen-tête Ruby dâarchive de paquet gem pourrait causer une boucle infinie.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000076";>CVE-2018-1000076</a> <p>Le paquet gems de Raby ne vérifie pas correctement les signatures chiffrées. Un gem de signature incorrecte pourrait être installé si lâarchive contient plusieurs signatures gem.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000077";>CVE-2018-1000077</a> <p>Une vulnérabilité de validation incorrecte dans lâattribut de la page dâaccueil de la spécification gems de Ruby pourrait permettre à un gem malveillant de définir une URL de page dâaccueil non valable.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000078";>CVE-2018-1000078</a> <p>Une vulnérabilité de script intersite (XSS) dans lâaffichage du serveur gem de lâattribut de page dâaccueil.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.5.6-5+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets jruby.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1337.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été trouvés dans rubygems, paquets a cadriciel management for Ruby. </p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000075";>CVE-2018-1000075</a> <p>Une vulnérabilité de taille négative dans lâen-tête Ruby dâarchive de paquet gem pourrait causer une boucle infinie.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000076";>CVE-2018-1000076</a> <p>Le paquet gems de Raby ne vérifie pas correctement les signatures chiffrées. Un gem de signature incorrecte pourrait être installé si lâarchive contient plusieurs signatures gem.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000077";>CVE-2018-1000077</a> <p>Une vulnérabilité de validation incorrecte dans lâattribut de la page dâaccueil de la spécification gems de Ruby pourrait permettre à un gem malveillant de définir une URL de page dâaccueil non valable.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000078";>CVE-2018-1000078</a> <p>Une vulnérabilité de script intersite (XSS) dans lâaffichage du serveur gem de lâattribut de page dâaccueil.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.8.24-1+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets rubygems.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1336.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans Z shell.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1071";>CVE-2018-1071</a> <p>Dépassement de pile dans la fonction exec.c:hashcmd(). Un attaquant local pourrait exploiter cela pour provoquer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1083";>CVE-2018-1083</a> <p>Dépassement de tampon dans la fonction autocomplete de lâinterpréteur. Un utilisateur local non privilégié peut créer un chemin de répertoire contrefait pour l'occasion qui pourrait aboutir à une exécution de code dans le contexte de lâutilisateur voulant autocompléter pour traverser le chemin sus-mentionné. Si lâutilisateur à des privilèges, cela conduit à une élévation des privilèges.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.3.17-1+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets zsh.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1335.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7651";>CVE-2017-7651</a> <p>Un paquet CONNECT contrefait dâun client non authentifié pourrait aboutir à une consommation extraordinaire de mémoire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7652";>CVE-2017-7652</a> <p>Dans le cas où tous les sockets ou descripteurs de fichier seraient épuisés, un signal SIGHUP pour recharger la configuration pourrait aboutir dans les valeurs de configuration par défaut (particulièrement dans de mauvais réglages de sécurité).</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.15-2+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets mosquitto.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1334.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le serveur de courrier électronique Dovecot. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14461";>CVE-2017-14461</a> <p>Aleksandar Nikolic de Cisco Talos et <q>flxflndy</q> ont découvert que Dovecot n'analysait pas correctement les adresses de courrier électronique non valables, ce qui peut provoquer un plantage ou la divulgation de contenus de mémoire à un attaquant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15130";>CVE-2017-15130</a> <p>Les recherches de configuration TLS SNI pourraient conduire à une utilisation de la mémoire excessive, faisant que la limite de la VSZ de imap-login/pop3-login soit atteinte et que le processus redémarre, avec pour conséquence un déni de service. Seules les configurations de Dovecot contenant les blocs de configuration <code>local_name { }</code> ou <code>local { }</code> sont affectées.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15132";>CVE-2017-15132</a> <p>Dovecot renferme un défaut de fuite de mémoire dans le processus de connexion lors d'une authentification SASL interrompue.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1:2.1.7-7+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets dovecot.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1333.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>libvncserver jusquâà la version 0.9.11 ne vérifiait pas msg.cct.length, ce qui pouvait aboutir à un accès non initialisé et éventuellement à des données sensibles, ou éventuellement avoir un autre impact non précisé (par exemple, un dépassement d'entier) à lâaide de paquets VNC contrefaits pour l'occasion.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.9.9+dfsg-1+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets libvncserver.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1332.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Mercurial, versions 4.5 et précédentes, contient une vulnérabilité de contrôle dâaccès incorrect (CWE-285) dans le serveur de protocole qui peut aboutir à un accès non autorisé de données. Cette attaque semble exploitable à lâaide dâune connexion réseau. Cette vulnérabilité semble avoir été corrigée dans la version 4.5.1.</p> <p>Cette mise à jour corrige aussi une régression introduite dans la version 2.2.2-4+deb7u5 qui fait que la suite de tests échoue de manière non déterministe.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.2.2-4+deb7u7.</p> <p>Nous vous recommandons de mettre à jour vos paquets mercurial.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1331.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Les types ASN.1 construits avec une définition récursive pourraient dépasser la taille de la pile, menant éventuellement à un déni de service.</p> <p>Plus de détails sont disponibles dans l'annonce amont : <a href="https://www.openssl.org/news/secadv/20180327.txt";>https://www.openssl.org/news/secadv/20180327.txt</a></p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.0.1t-1+deb7u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssl.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1330.data" # $Id: $
