Bonjour, ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11521";>CVE-2017-11521</a> <p>La fonction SdpContents::Session::Medium::parse dans resip/stack/SdpContents.cxx dans reSIProcate 1.10.2 permet à des attaquants distants de provoquer un déni de service (consommation de mémoire) en déclenchant beaucoup de connexions de médias.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.8.5-4+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets resiprocate.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1040.data" # $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10686";>CVE-2017-10686</a> <p>Dans Netwide Assembler (NASM) version 2.14rc0, il existe plusieurs vulnérabilités dâutilisation de mémoire de tas après libération dans lâoutil nasm. Le tas concerné est alloué dans la fonction token() et libéré dans la fonction detoken() (appellée par pp_getline()). Il est utilisé de nouveau dans plusieurs positions pouvant causer plusieurs dommages. Par exemple, il provoque une liste corrompue doublement liée dans detoken(), une double libération de zone de mémoire ou une corruption dans delete_Token() et une écriture hors limites dans detoken(). Il est hautement probable que cela aboutisse à une attaque dâexécution de code à distance.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11111";>CVE-2017-11111</a> <p>Dans Netwide Assembler (NASM)version 2.14rc0, preproc.c permet à des attaquants distants de provoquer un déni de service (dépassement de tampon basé sur le tas et plantage d'application) ou éventuellement dâavoir un impact non précisé à l'aide d'un fichier contrefait.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.10.01-1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets nasm.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1041.data" # $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9122";>CVE-2017-9122</a> <p>La fonction quicktime_read_moov dans moov.c dans libquicktime 1.2.4 permet à des attaquants distants de provoquer un déni de service (boucle infinie et consommation de CPU) à l'aide d'un fichier mp4 contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9123";>CVE-2017-9123</a> <p>La fonction lqt_frame_duration dans lqt_quicktime.c dans libquicktime 1.2.4 permet à des attaquants distants de provoquer un déni de service (lecture de mémoire non valable et plantage d'application) à l'aide d'un fichier mp4 contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9124";>CVE-2017-9124</a> <p>La fonction quicktime_match_32 dans util.c dans libquicktime 1.2.4 permet à des attaquants distants de provoquer un déni de service (déréférencement de pointeur NULL et plantage d'application) à l'aide d'un fichier mp4 contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9125";>CVE-2017-9125</a> <p>La fonction lqt_frame_duration dans lqt_quicktime.c dans libquicktime 1.2.4 permet à des attaquants distants de provoquer un déni de service (lecture hors limites de tampon basé sur le tas) à l'aide d'un fichier mp4 contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9126";>CVE-2017-9126</a> <p>La fonction quicktime_read_dref_table dans dref.c dans libquicktime 1.2.4 permet à des attaquants distants de provoquer un déni de service (dépassement de tampon basé sur le tas et plantage d'application) à l'aide d'un fichier mp4 contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9127";>CVE-2017-9127</a> <p>La fonction quicktime_user_atoms_read_atom dans useratoms.c dans libquicktime 1.2.4 permet à des attaquants distants de provoquer un déni de service (dépassement de tampon basé sur le tas et plantage d'application) à l'aide d'un fichier mp4 contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9128";>CVE-2017-9128</a> <p>La fonction quicktime_video_width dans lqt_quicktime.c dans libquicktime 1.2.4 permet à des attaquants distants de provoquer un déni de service (lecture hors limites de tampon basé sur le tas et plantage d'application) à l'aide d'un fichier mp4 contrefait.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2:1.2.4-3+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libquicktime.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1042.data" # $Id: $
#use wml::debian::translation-check translation="cb6bc3d73ebe6c8ee975e84a5de151bbec375689" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts dans le serveur de base de données MySQL. Les vulnérabilités sont corrigées en mettant à niveau MySQL vers la nouvelle version amont 5.5.57 qui inclut des modifications supplémentaires, telles que des améliorations, des corrections de bogues, de nouvelles fonctions et éventuellement des changements incompatibles. Veuillez consulter les notes de publication de MySQL 5.5 et les annonces de mises à jour critiques d'Oracle pour de plus amples détails :</p> <ul> <li><url "https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-56.html";></li> <li><a href="https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-57.html";>https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-57.html</a></li> <li><a href="http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html";>http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html</a></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 5.5.57-0+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mysql-5.5.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1043.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Le démon racoon dans IPsec-Tools 0.8.2 et ses versions antérieures contient une attaque par complexité de calcul exploitable à distance lors de lâanalyse et le stockage de fragments ISAKMP. Lâimplémentation permet à un attaquant distant dâépuiser les ressources de calcul sur le terminal distant en envoyant de manière répétée des paquets de fragment ISAKMP dans un certain ordre tel que la complexité de calcul dans le pire des cas est réalisée dans lâalgorithme utilisé pour déterminer si le réassemblage des fragments peut être réalisé.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1:0.8.0-14+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets ipsec-tools.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1044.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité, de déréférencement de pointeur NULL, dâutilisation de mémoire après libération et de dépassement de tas, ont été découvertes dans graphicsmagick, qui peuvent conduire à un déni de service en consommant toute la mémoire disponible ou à des erreurs de segmentation.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.3.16-1.1+deb7u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1045.data" # $Id: $
#use wml::debian::translation-check translation="04b2a712f0dc1f99d41ff1a394028d0309992b19" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Le gestionnaire lucene-solr prend en charge une API HTTP (/replication?command=filecontent&file=<file_name>) qui est vulnérable à une attaque par traversée de répertoires. Particulièrement, cette API ne réalise aucune validation de lâutilisateur précisé dans le paramètre file_name. Cela peut permettre à un attaquant de télécharger un fichier lisible par le processus de serveur Solr, même si cela ne concerne pas lâétat réel de lâindex Solr.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 3.6.0+dfsg-1+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets lucene-solr.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1046.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité a été découverte dans supervisor, un système pour contrôler lâétat du processus, où un client authentifié peut envoyer une requête XML-RPC malveillante à supervisord qui exécutera des commandes arbitraires dâinterpréteur sur le serveur. Les commandes seront exécutées en tant que même utilisateur que supervisord.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 3.0a8-1.1+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets supervisor.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1047.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été trouvés dans Ghostscript, lâinterpréteur GPL PostScript/PDF, qui permettaient à des attaquants distants de provoquer un déni de service (dépassement de tampon basé sur le tas et plantage d'application) ou éventuellement dâavoir un impact non précisé à l'aide d'un document PostScript contrefait.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 9.05~dfsg-6.3+deb7u7.</p> <p>Nous vous recommandons de mettre à jour vos paquets ghostscript.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1048.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait une attaque par dépassement de tampon basé sur le tas dans libsndfile, une bibliothèque pour lire et écrire des fichiers audio. Un attaquant pourrait causer un déni de service distant en piégeant la fonction à produire une grande quantité de données.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 1.0.25-9.1+deb7u4 de libsndfile.</p> <p>Nous vous recommandons de mettre à jour vos paquets libsndfile.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1049.data" # $Id: $
