Bonjour, ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur rapide de processeur. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6505";>CVE-2017-6505</a> <p>Déni de service à lâaide dâune boucle infinie dans lâémulation USB OHCI.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8309";>CVE-2017-8309</a> <p>Déni de service à lâaide de capture audio VNC.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10664";>CVE-2017-10664</a> <p>Déni de service dans le serveur qemu-nbd, qemu-io et qemu-img.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11434";>CVE-2017-11434</a> <p>Déni de service à l'aide d'une chaîne dâoption DHCP contrefaite.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u23.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1070.data" # $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution complète de virtualisation pour des hôtes Linux sur du matériel x86 avec des invités x86 basés sur Qemu (Quick Emulator).</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6505";>CVE-2017-6505</a> <p>Déni de service à lâaide dâune boucle infinie dans lâémulation USB OHCI.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8309";>CVE-2017-8309</a> <p>Déni de service à lâaide de capture audio VNC.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10664";>CVE-2017-10664</a> <p>Déni de service dans le serveur qemu-nbd, qemu-io et qemu-img.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11434";>CVE-2017-11434</a> <p>Déni de service à l'aide d'une chaîne dâoption DHCP contrefaite.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u23.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1071.data" # $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités importantes ont été trouvées dans le système de gestion de versions Mercurial, qui pourraient conduire à un attaque par injection dâinterpréteur et un écrasement de fichiers hors dâarbre.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000115";>CVE-2017-1000115</a> <p>Lâévaluation de lien symbolique de Mercurial était incomplète avant 4.3, et pourrait être dupée pour écrire des fichiers en dehors du dépôt.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-1000116";>CVE-2017-1000116</a> <p>Mercurial ne nettoyait pas les noms dâhôte passés à ssh, permettant une attaque par injection dâinterpréteur sur des clients en précisant un nom dâhôte débutant par -oProxyCommand. Cette vulnérabilité est similaire à celles dans Git (<a href="https://security-tracker.debian.org/tracker/CVE-2017-1000117";>CVE-2017-1000117</a>) et Subversion (<a href="https://security-tracker.debian.org/tracker/CVE-2017-9800";>CVE-2017-9800</a>).</p> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.2.2-4+deb7u5.</p> <p>Nous vous recommandons de mettre à jour vos paquets mercurial.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1072.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation de la plateforme Java dâOracle, aboutissant à un contournement du bac à sable, une authentification incorrecte, une exécution de code arbitraire, un déni de service, une divulgation d'informations, une utilisation de chiffrement non sûr ou un contournement de vérification de Jar.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 7u151-2.6.11-1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openjdk-7.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1073.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de dépassement de tampon et d'entier ont été découverts dans Poppler, une bibliothèque PDF, qui pourraient conduire à un plantage d'application ou éventuellement à un autre impact non précisé à lâaide de fichiers malveillants contrefaits.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.18.4-6+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets poppler.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1074.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Dans WordPress, il existe une validation de redirection insuffisante dans la classe HTTP, conduisant à une contrefaçon de requête côté serveur (SSRF).</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u16.</p> <p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1075.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La fonction finish_nested_data dans ext/standard/var_unserializer.re dans PHP est prédisposée à une lecture excessive de tampon lors de la désérialisation de données non fiables. Lâexploitation de ce problème a un impact non précisé pour lâintégrité de PHP.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 5.4.45-0+deb7u11.</p> <p>Nous vous recommandons de mettre à jour vos paquets php5.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1076.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Divers problèmes de sécurité ont été découverts dans faad2, un décodeur audio rapide, qui pouvaient permettre à des attaquants distants de provoquer un déni de service (plantage d'application dû à des erreurs de mémoire ou à une trop grande consommation de CPU) à l'aide d'un fichier mp4 contrefait.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.7-8+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets faad2.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1077.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Dans connman, un dépassement de pile dans <q>dnsproxy.c</q> permet à des attaquants distants de provoquer un déni de service (plantage) ou dâexécuter du code arbitraire à l'aide d'une chaîne contrefaite de requête de réponse passée à la variable <q>name</q>.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.0-1.1+wheezy2.</p> <p>Nous vous recommandons de mettre à jour vos paquets connman.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1078.data" # $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La bibliothèque Perl pour communiquer avec la base de données MySQL, utilisée dans le client <q>mysql</q> en ligne de commande, est vulnérable à une attaque dâhomme du milieu dans les configurations SSL et à un plantage distant lors de la connexion à un serveur malveillant.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10788";>CVE-2017-10788</a> <p>Le module DBD::mysql jusquâà  4.042 pour Perl permet à des attaquants distants de provoquer un déni de service (utilisation de mémoire après libération et plantage d'application) ou, éventuellement, dâavoir un impact non précisé en déclenchant (1) certaines réponses à des erreurs dâun serveur MySQL ou (2) une perte de connexion réseau à un serveur MySQL. Le défaut dâutilisation de mémoire après libération était introduit en sâappuyant sur une documentation incorrecte de mysql_stmt_close et des exemples de code dâOracle.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10789";>CVE-2017-10789</a> <p>Le module DBD::mysql jusquâà  4.042 pour Perl utilise le réglage mysql_ssl=1 pour signifier que SSL est facultatif (même si la documentation du réglage possède une déclaration <q>your communication with the server will be encrypted</q>). Cela permet à des attaquants de type « homme du milieu » dâusurper des serveurs à l'aide d'une attaque cleartext-downgrade, un problème relatif à <a href="https://security-tracker.debian.org/tracker/CVE-2015-3152";>CVE-2015-3152</a>.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.021-1+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets libdbd-mysql-perl.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1079.data" # $Id: $
