Bonjour, Ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans lâhyperviseur Xen, qui pourraient aboutir à un déni de service, une fuite d'informations ou une élévation des privilèges.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.1.6.lts1-13.</p> <p>Nous vous recommandons de mettre à jour vos paquets xen.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1300.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans le moteur de servlet Java Tomcat et le moteur JSP.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1304";>CVE-2018-1304</a> <p>Le modèle dâURL de "" (chaîne vide), qui correspond exactement au contexte du superutilisateur, nâétait pas géré correctement dans Tomcat dâApache lorsquâil était utilisé comme partie de la définition de restriction. Cela faisait que la restriction était ignorée. Il était, par conséquent, possible pour des utilisateurs non autorisés dâacquérir lâaccès aux ressources de lâapplication web qui auraient dû être protégées. Seules les restrictions de sécurité avec comme modèle dâURL une chaîne vide sont touchées.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1305";>CVE-2018-1305</a> <p>Des restrictions de sécurité définies par des annotations de servlet dans Tomcat dâApache étaient seulement appliquées que lorsquâun servlet était chargé. à cause des restrictions de sécurité définies de cette façon appliquées au modèle dâURL et nâimporte quelle URL en découlant, il était possible â en fonction de lâordre de chargement des servlets â que quelques restrictions de sécurité ne soient appliquées. Cela pourrait avoir exposé des ressources à des utilisateurs nâayant pas de droit dâaccès.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 7.0.28-4+deb7u18.</p> <p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1301.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Différents défauts ont été découverts dans leptonlib, une bibliothèque de traitement dâimage.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7186";>CVE-2018-7186</a> <p>Leptonica ne limitait pas le nombre de caractères dans lâargument de format %s pour fscanf ou sscanf, ce qui rendait possible pour des attaquants distants de provoquer un déni de service (un dépassement de pile) ou éventuellement dâavoir un impact non précisé à l'aide d'une longue chaîne.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7440";>CVE-2018-7440</a> <p>La fonction gplotMakeOutput permettait une injection de commande à l'aide d'une approche $(command) dans lâargument rootname de gplot. Ce problème existe à cause dâun correctif incomplet pour <a href="https://security-tracker.debian.org/tracker/CVE-2018-3836";>CVE-2018-3836</a>.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.69-3.1+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets leptonlib.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1302.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs fonctions étaient extrêmement lentes pour évaluer certaines entrées à cause de vulnérabilités de retour arrière désastreux dans plusieurs expressions rationnelles.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7536";>CVE-2018-7536</a> <p>La fonction django.utils.html.urlize() étaient extrêmement lentes pour évaluer certaines entrées à cause de vulnérabilités de retour arrière désastreux dans deux expressions rationnelles. La fonction urlize() est utilisée pour mettre en Åuvre les filtres de modèle urlize and urlizetrunc, qui donc étaient vulnérables.</p> <p>Les expressions rationnelles problématiques sont remplacées par une logique dâanalyse qui se comporte de manière similaire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7537";>CVE-2018-7537</a> <p>Si les méthodes chars() et words() de django.utils.text.Truncator étaient passées avec lâargument html=True, elles étaient extrêmement lentes à évaluer certaines entrées à cause dâune vulnérabilité de retour sur trace désastreux dans une expression rationnelle. Les méthodes chars() et words() sont utilisées pour mettre en Åuvre les filtres de modèle truncatechars_html et truncatewords_html, qui donc étaient vulnérables.</p> <p>Le problème de retour sur trace dans les expressions rationnelles est corrigé.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.4.22-1+deb7u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-django.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1303.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>plusieurs vulnérabilités ont été découvertes dans lâinterpréteur de commandes <q>zsh</q>.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-10070";>CVE-2014-10070</a> <p>Correction dâun problème dâélévation des privilèges si lâenvironnement nâavait pas été correctement nettoyé.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-10071";>CVE-2014-10071</a> <p>Prévention dâun dépassement de tampon pour de très longs descripteurs de fichier dans la syntaxe <q>>& fd</q>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-10072";>CVE-2014-10072</a> <p>Correction dâun dépassement de tampon lors de lâanalyse de très longs chemins de répertoire pour les liens symboliques.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10714";>CVE-2016-10714</a> <p>Correction dâune erreur due à un décalage d'entier aboutissant à des tampons sous-dimensionnés prévus pour prendre en charge PATH_MAX.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18206";>CVE-2017-18206</a> <p>Correction un dépassement de tampon dans lâexpansion de lien symbolique.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 4.3.17-1+deb7u1 de zsh.</p> <p>Nous vous recommandons de mettre à jour vos paquets zsh.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1304.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans ClamAV, un moteur au code source ouvert dâantivirus.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-0202";>CVE-2018-0202</a> <p>ClamAV ne traitait pas certains fichiers PDF correctement, en relation avec un dépassement de tas. Des PDF spécialement contrefaits pourraient faire planter ClamAV, aboutissant à un déni de service ou éventuellement à une exécution de code arbitraire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000085";>CVE-2018-1000085</a> <p>Hanno Böck a découvert que ClamAV ne traitait pas les fichiers XAR correctement. Des fichiers XAR malformés pourraient faire planter ClamAV à cause dâune lecture de tas hors limites. Cela pourrait aboutir à un déni de service.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.99.4+dfsg-1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets clamav.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1307.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait une vulnérabilité de déréférencement de pointeur fonction NULL dans vips, un système de traitement dâimage pour de très grandes images.</p> <p>Des attaquants distants pourraient causer un déni de service à l'aide d'un fichier dâimage spécialement contrefait, survenant à cause dâune situation de compétition impliquant un chargement dâimage défectueux et dâautres processus légers dâinstance.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 7.28.5-1+deb7u2 de vips.</p> <p>Nous vous recommandons de mettre à jour vos paquets vips.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1306.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Ming.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5251";>CVE-2018-5251</a> <p>Vulnérabilité dâerreur dâentier signé (décalage à gauche dâune valeur négative) dans la fonction readSBits (util/read.c). Des attaquants distants pourraient exploiter cette vulnérabilité pour provoquer un déni de service à l'aide d'un fichier SWF contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5294";>CVE-2018-5294</a> <p>Vulnérabilité de dépassement dâentier (causé par à un décalage à gauche hors intervalle) dans la fonction readUInt32 (util/read.c). Des attaquants distants pourraient exploiter cette vulnérabilité pour provoquer un déni de service à l'aide d'un fichier SWF contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6315";>CVE-2018-6315</a> <p>Dépassement dâentier et lecture hors limites résultante dans la fonction outputSWF_TEXT_RECORD (util/outputscript.c). Des attaquants distants pourraient exploiter cette vulnérabilité pour provoquer un déni de service ou un autre impact non précisé à l'aide d'un fichier SWF contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6359";>CVE-2018-6359</a> <p>Vulnérabilité dâutilisation après libération dans la fonction decompileIF (util/decompile.c). Des attaquants distants pourraient exploiter cette vulnérabilité pour provoquer un déni de service ou un autre impact non précisé à l'aide d'un fichier SWF contrefait.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.4.4-1.1+deb7u7.</p> <p>Nous vous recommandons de mettre à jour vos paquets ming.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1305.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web Firefox de Mozilla : plusieurs erreurs de sécurité de mémoire et autres erreurs dâimplémentation pourraient conduire à l'exécution de code arbitraire ou à un déni de service.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 52.7.1esr-1~deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1308.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été trouvées dans cURL, une URL bibliothèque de transfert dâURL.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000120";>CVE-2018-1000120</a> <p>Duy Phan Thanh a signalé que curl pourrait être dupé pour écrire un octet vide hors limites lorsquâil lui était demandé de travailler avec une URL FTP, avec le réglage de produire une commande de CWD unique. Le problème pourrait être déclenché si la partie répertoire de lâURL contenait une séquence « %00 ».</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000121";>CVE-2018-1000121</a> <p>Dario Weisser a découvert que curl pourrait déréférencer une adresse proche de NULL lors de la réception d'une URL LDAP. Un serveur malveillant envoyant une réponse spécialement contrefaite pourrait provoquer le plantage des applications utilisant les URL LDAP en se reposant sur libcurl.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000122";>CVE-2018-1000122</a> <p>OSS-fuzz et Max Dymond ont trouvé que curl pourrait être entraîné à copier des données au-delà de la fin de son tampon de tas quand il est appelé à transférer une URL RTSP. Curl pourrait calculer une mauvaise longueur de données à copier du tampon de lecture. Cela pourrait conduire à une fuite d'informations ou à un déni de service.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 7.26.0-1+wheezy25.</p> <p>Nous vous recommandons de mettre à jour vos paquets curl.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1309.data" # $Id: $
