[RFR] wml://lts/security/2017/dla-113{0-9}.wml

[JP Guillonneau]

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

Amicalement.


--
Jean-Paul

#use wml::debian::translation-check translation="72f9357c5679b1e36a67da1a7afcf729e69b36c2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Cette publication corrige un certain nombre de problèmes de sécurité dans
graphicsmagick.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14103";>CVE-2017-14103</a>

<p>Les fonctions ReadJNGImage et ReadOneJNGImage dans coders/png.c ne géraient pas
correctement les pointeurs d’image après certaines conditions d’erreur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14314";>CVE-2017-14314</a>

<p>Lecture hors limites de tampon basé sur le tas dans DrawDashPolygon().</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14504";>CVE-2017-14504</a>

<p>Déréférencement de pointeur NULL déclenché par un fichier mal formé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14733";>CVE-2017-14733</a>

<p>Garantie de détection des images alpha avec trop peu de couleurs.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14994";>CVE-2017-14994</a>

<p>DCM_ReadNonNativeImages() peut produire une liste d’images sans image fixe,
aboutissant à un pointeur NULL d’image.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14997";>CVE-2017-14997</a>

<p>Dépassement de capacité par le bas non signé conduisant à une requête
d’allocation étonnamment grande.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1.3.16-1.1+deb7u10.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1130.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Cette mise à jour corrige de nombreuses vulnérabilités dans imagemagick :
divers problèmes de traitement de la mémoire et de cas de nettoyage des entrées
manquants ou incomplets peuvent aboutir à un déni de service, une divulgation de
la mémoire ou l'exécution de code arbitraire si des fichiers mal formés XCF,
VIFF, BMP, thumbnail, CUT, PSD, TXT, XBM, PCX, MPC, WPG, TIFF, SVG, font, EMF,
PNG ou d’autres types, sont traités.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 8:6.7.7.10-5+deb7u17.</p>

<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1131.data"
# $Id: $

#use wml::debian::translation-check translation="fce40adff1381ed16a3e5ebae7ad1ff8fcbbb739" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans l’hyperviseur Xen :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10912";>CVE-2017-10912</a>

<p>Jann Horn a découvert que le traitement incorrect de transfert de page
pouvait aboutir à une élévation des privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10913";>CVE-2017-10913</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-10914";>CVE-2017-10914</a>

<p>Jann Horn a découvert que des situations de compétition dans le traitement de
grant pouvait aboutir à une fuite d'informations ou une élévation des
privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10915";>CVE-2017-10915</a>

<p>Andrew Cooper a découvert qu'un comptage de références incorrect avec
une pagination « shadow » pourrait avoir pour conséquence une augmentation
de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10918";>CVE-2017-10918</a>

<p>Julien Grall a découvert qu'un traitement d'erreur incorrect dans les
mappages de mémoire physique du système client avec la mémoire physique de
la machine peut avoir pour conséquence une augmentation de droits, un déni
de service ou une fuite d'informations.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10920";>CVE-2017-10920</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-10921";>CVE-2017-10921</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2017-10922";>CVE-2017-10922</a>

<p>Jan Beulich a découvert plusieurs emplacements où le comptage de
références sur les opérations de « grant-table » était incorrect, avec pour
conséquence une potentielle augmentation de droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12135";>CVE-2017-12135</a>

<p>Jan Beulich a découvert plusieurs problèmes dans le traitement
d'attributions transitives qui pourrait avoir pour conséquence un déni de
service et éventuellement une augmentation de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12137";>CVE-2017-12137</a>

<p>Andrew Cooper a découvert que la validation incorrecte d'attributions
peut avoir pour conséquence une augmentation de droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12855";>CVE-2017-12855</a>

<p>Jan Beulich a découvert le traitement incorrect de l'état d'attribution,
et en conséquence une information incorrecte du client sur le fait que
l'attribution n'est plus utilisée.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14316";>CVE-2017-14316</a>

<p>Matthew Daley a découvert que le paramètre de nœud NUMA n’était pas vérifié,
ce qui peut aboutir dans une élévation des privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14317";>CVE-2017-14317</a>

<p>Eric Chanudet a découvert qu’une situation de compétition dans cxenstored
peut aboutir à une fuite d'informations ou une élévation des privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14318";>CVE-2017-14318</a>

<p>Matthew Daley a découvert qu’une validation incorrecte de « grant » peut
aboutir à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-14319";>CVE-2017-14319</a>

<p>Andrew Cooper a découvert que des vérifications insuffisantes de
« démappage » de « grant » peut aboutir à un déni de service et une élévation
 des privilèges.</p>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.1.6.lts1-9.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xen.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1132.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Ming.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11704";>CVE-2017-11704</a>

<p>Lecture hors limites de tampon basé sur le tas dans la fonction
decompileIF dans util/decompile.c dans Ming <= 0.4.8. Cela permet à des
attaquants de provoquer un déni de service à l'aide d'un fichier contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11728";>CVE-2017-11728</a>

<p>Lecture hors limites de tampon basé sur le tas dans la fonction OpCode
(appelée à partir de decompileSETMEMBER) dans util/decompile.c dans
Ming <= 0.4.8. Cela permet à des attaquants de provoquer un déni de service à l'aide
d'un fichier contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11729";>CVE-2017-11729</a>

<p>Lecture hors limites de tampon basé sur le tas dans la fonction OpCode
(appelée à partir de decompileINCR_DECR ligne 1440) dans util/decompile.c dans
Ming <= 0.4.8. Cela permet à des attaquants de provoquer un déni de service à
l'aide d'un fichier contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11730";>CVE-2017-11730</a>

<p>Lecture hors limites de tampon basé sur le tas dans la fonction OpCode
(appelée à partir de decompileINCR_DECR ligne 1474) dans util/decompile.c dans
Ming <= 0.4.8. Cela permet à des attaquants de provoquer un déni de service à
l'aide d'un fichier contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11731";>CVE-2017-11731</a>

<p>Lecture non valable dans la fonction OpCode (appelée à partir de
isLogicalOp et decompileIF) dans util/decompile.c dans Ming <= 0.4.8. Cela
permet à des attaquants de provoquer un déni de service à l'aide d'un fichier
contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11734";>CVE-2017-11734</a>

<p>Lecture hors limites de tampon basé sur le tas dans la fonction
decompileCALLFUNCTION dans util/decompile.c dans Ming <= 0.4.8. Cela permet à
des attaquants de provoquer un déni de service à l'aide d'un fichier contrefait.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 1:0.4.4-1.1+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ming.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1133.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité de dépassement de tampon dans sdl-image1.2, une
bibliothèque de chargement d’image.</p>

<p>Une fichier .xcf contrefait spécialement pourrait causer un dépassement de
pile aboutissant à une exécution potentielle de code.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.2.12-2+deb7u1.</p> de sdl-image1.2

<p>Nous vous recommandons de mettre à jour vos paquets sdl-image1.2.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1134.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La base de données de Berkeley (DB) lit DB_CONFIG à partir du répertoire de
travail en cours, conduisant à une fuite d'informations en dupant les processus
avec privilèges pour lire des fichiers arbitraires.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 5.1.29-5+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets db.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1135.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La base de données de Berkeley (DB) lit DB_CONFIG à partir du répertoire de
travail en cours, conduisant à une fuite d'informations en dupant les processus
avec privilèges pour lire des fichiers arbitraires.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.8.30-12+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets db4.8.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1136.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La base de données de Berkeley (DB) lit DB_CONFIG à partir du répertoire de
travail en cours, conduisant à une fuite d'informations en dupant les processus
avec privilèges pour lire des fichiers arbitraires.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 4.7.25-21+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets db4.7.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1137.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Martin Thomson a découvert que nss, la bibliothèque du service de sécurité
réseau de Mozilla, est prédisposée à une vulnérabilité d’utilisation de mémoire
après libération dans l’implémentation de TLS 1.2 lors de la génération des
hachages d’initialisation de connexion. Un attaquant distant peut exploiter ce
défaut pour provoquer le plantage d’une application utilisant la bibliothèque
nss, aboutissant à un déni de service, ou éventuellement à l’exécution de code
arbitraire.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 2:3.26-1+debu7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nss.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1138.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Cette mise à jour corrige deux vulnérabilités dans ImageMagick.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15277";>CVE-2017-15277</a>

<p>Une structure de données non initialisée pourrait conduire à une divulgation
d'informations lors de la lecture d’un fichier GIF contrefait spécialement.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15281";>CVE-2017-15281</a>

<p>Une valeur non initialisée utilisée dans un saut conditionnel pourrait causer
un déni de service (plantage d'application) ou avoir d’autres impacts non
précisés lors de la lecture d’un fichier PSD contrefait spécialement.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans
la version 8:6.7.7.10-5+deb7u18.</p>

<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1139.data"
# $Id: $