Bonjour, ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Vim 8.0 permet à des attaquants de provoquer un déni de service (libération non valable) ou dâavoir un impact non précisé à l'aide d'un fichier source contrefait (alias -S).</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2:7.3.547-7+deb7u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets vim.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1030.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>L'équipe de sécurité de Google a découvert que le visualisateur de document Evince utilise de manière non sécurisée tar lors de lâouverture des archives de bandes dessinées compressées (CBT). Lâouverture dâune archive CBT malveillante pourrait aboutir à l'exécution de code arbitraire. Cette mise à jour désactive entièrement le format CBT.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 3.4.0-3.1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets evince.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1031.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Depuis la publication de la dernière version stable de Debian (Stretch), Debian LTS (Wheezy) a été renommé <q>oldoldstable</q>, ce qui casse le paquet unattended-upgrades comme décrit dans le bogue n° 867169. Les mises à jour ne seront tout simplement plus réalisées.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.79.5+wheezy3. Remarquez que la dernière version de unattended-upgrades publiée dans les dernières versions nâont pas le même comportement, car elles utilisent le nom de code de la publication (par exemple, <q>Jessie</q>) au lieu du nom de la suite (par exemple, <q>oldstable</q>) dans le fichier de configuration. Aussi la transition des prochaines publications se déroulera correctement pour les futures publications LTS.</p> <p>Nous vous recommandons de mettre à jour vos paquets unattended-upgrades.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1032.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait une vulnérabilité de déni de service dans memcached, un système de mise en cache en mémoire dâobjets et de haute performance.</p> <p>La fonction try_read_command permettait à des attaquants distants de provoquer un déni de service à l'aide d'une requête pour ajouter ou régler une clef, qui réalise une comparaison entre un entier signé ou non signé qui déclenchait une lecture hors limites de tampon basé sur le tas.</p> <p>Cette vulnérabilité existait à cause dâun correctif incomplet pour le <a href="https://security-tracker.debian.org/tracker/CVE-2016-8705";>CVE-2016-8705</a>.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 1.4.13-0.2+deb7u3 de memcached.</p> <p>Nous vous recommandons de mettre à jour vos paquets memcached.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1033.data" # $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts dans PHP (acronyme récursif pour PHP : Hypertext Preprocessor), un langage de script généraliste au source libre couramment utilisé, particulièrement bien adapté pour le développement web et pouvant être embarqué dans du HTML.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10397";>CVE-2016-10397</a> <p>Un traitement incorrect de divers composantes dâURI dans l'analyseur dâURL pourrait être utilisé par des attaquants pour contourner les vérifications dâURL spécifiques à lâhôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11143";>CVE-2017-11143</a> <p>Une libération non valable dans la désérialisation WDDX de paramètres booléens pourrait être utilisée par des attaquants capable dâinjecter du XML pour une désérialisation et planter lâinterpréteur PHP.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11144";>CVE-2017-11144</a> <p>Le code dâextension PEM dâétanchéité dâOpenSSL ne vérifiait pas la valeur de renvoi de la fonction « sealing » dâOpenSSL. Cela pourrait conduire à un plantage de lâinterpréteur PHP.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11145";>CVE-2017-11145</a> <p>Le manque de vérification de limites dans le code dâanalyse de timelib_meridian de lâextension de date pourrait être utilisé par des attaquants capables de fournir des chaînes de date pour une fuite dâinformation à partir de lâinterpréteur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11147";>CVE-2017-11147</a> <p>Le gestionnaire dâarchives PHAR pourrait être utilisé par des attaquants fournissant un fichier dâarchive malveillant pour planter lâinterpréteur PHP ou éventuellement divulguer des informations à cause dâune lecture excessive de tampon dans la fonction phar_parse_pharfile dans ext/phar/phar.c.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 5.4.45-0+deb7u9.</p> <p>Nous vous recommandons de mettre à jour vos paquets php5.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1034.data" # $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur rapide de processeur. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9603";>CVE-2016-9603</a> <p>qemu-kvm construit avec lâémulateur VGA Cirrus CLGD 54xx et la prise en charge du pilote dâaffichage VNC est vulnérable à un problème de dépassement de tampon basé sur le tas. Il pourrait se produire lorsquâun client Vnc essaie de mettre à jour son affichage après quâune opération vga est réalisée par un client.</p> <p>Un utilisateur ou processus privilégié dans un client pourrait utiliser ce défaut pour planter le processus Qemu aboutissant à un déni de service OU éventuellement être exploité pour exécuter du code arbitraire sur lâhôte avec les privilèges du processus de Qemu.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7718";>CVE-2017-7718</a> <p>qemu-kvm built avec la prise en charge de lâémulateur VGA Cirrus CLGD 54xx est vulnérable à un problème dâaccès hors limites. Il pourrait se produire lors de la copie de données VGA à lâaide des fonctions bitblt cirrus_bitblt_rop_fwd_transp_ ou cirrus_bitblt_rop_fwd_.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour planter le processus de Qemu aboutissant à dans un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7980";>CVE-2017-7980</a> <p>qemu-kvm built avec la prise en charge de lâémulateur VGA Cirrus CLGD 54xx est vulnérable à des problèmes dâaccès r/w hors limites. Il pourrait se produire lors de la copie de données VGA à lâaide de diverses fonctions bitblt.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour planter le processus de Qemu aboutissant à un déni de service OU éventuellement à une exécution de code arbitraire sur lâhôte avec les privilèges du processus de Qemu sur lâhôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9602";>CVE-2016-9602</a> <p>Quick Emulator (Qemu) construit avec VirtFS, le partage de répertoires dâhôte à lâaide de la prise en charge de Plan 9 File System (9pfs), est vulnérable à un problème de suivi de lien incorrect. Il pourrait se produire lors de lâaccès à des fichiers de lien symbolique sur un répertoire hôte partagé.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour accéder au système de fichiers hôte au-delà du répertoire partagé et éventuellement augmenter ses privilèges sur lâhôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7377";>CVE-2017-7377</a> <p>Quick Emulator (Qemu) construit avec la prise en charge du dorsal virtio-9p est vulnérable à un problème de fuite de mémoire. Il pourrait se produire lors dâune opération dâE/S à lâaide dâune routine v9fs_create/v9fs_lcreate.</p> <p>Un utilisateur ou processus privilégié dans un client pourrait utiliser ce défaut pour divulguer la mémoire de lâhôte aboutissant à un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7471";>CVE-2017-7471</a> <p>Quick Emulator (Qemu) construit avec VirtFS, le partage de répertoires dâhôte à lâaide de la prise en charge de Plan 9 File System (9pfs), est vulnérable à un problème de contrôle dâaccès incorrect. Il pourrait se produire lors de lâaccès à des fichiers du répertoire partagé de lâhôte.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour accéder au-delà du répertoire partagé et éventuellement augmenter ses privilèges sur lâhôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7493";>CVE-2017-7493</a> <p>Quick Emulator (Qemu) construit avec VirtFS, le partage de répertoires dâhôte à lâaide de la prise en charge de Plan 9 File System (9pfs), est vulnérable à un problème de contrôle dâaccès. Il pourrait se produire lors dâaccès incorrect de fichiers de métadonnées virtfs avec le mode de sécurité mapped-file.</p> <p>Un utilisateur de client pourrait utiliser cela défaut pour augmenter ses droits dans le client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8086";>CVE-2017-8086</a> <p>Quick Emulator (Qemu) construit avec la prise en charge du dorsal virtio-9p est vulnérable à une fuite de mémoire. Elle pourrait se produire lors de la requête dâattributs étendus de système de fichiers à lâaide dâune routine 9pfs_list_xattr().</p> <p>Un utilisateur ou processus privilégié dans un client pourrait utiliser ce défaut pour divulguer la mémoire de lâhôte aboutissant à un déni de service.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u22.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1035.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité a été découverte dans gsoap, une bibliothèque pour le développement de services et clients web de SOAP qui peut être exposée à un message XML spécifique de plus de 2 GB. Après la réception de ce message de 2 GB, un dépassement de tampon peut provoquer un plantage dâun serveur ouvert non sécurisé. Les clients communicant par HTTPS avec des serveur fiables ne sont pas touchés.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.8.7-2+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets gsoap.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1036.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un défaut de dépassement de capacité de tampon par le bas a été découvert dans catdoc, un extracteur de texte pour les fichiers de MS-Office, qui pourrait conduire à un déni de service (plantage d'application) ou avoir un impact non précisé, si un fichier spécialement contrefait est traité.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.94.4-1.1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets catdoc.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1037.data" # $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10790";>CVE-2017-10790</a> <p>La fonction _asn1_check_identifier dans GNU Libtasn1 jusquâà  4.12 cause un déréférencement de pointeur NULL et un plantage lors de la lecture dâentrées contrefaites déclenchant une affectation dâune valeur NULL dans une structure asn1_node. Cela pourrait conduire à attaque distante de déni de service.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.13-2+deb7u5.</p> <p>Nous vous recommandons de mettre à jour vos paquets libtasn1-3.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1038.data" # $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7480";>CVE-2017-7480</a> <p>Le correctif originel introduisait de nouvelles expressions rationnelles pour une meilleure vérification des URL autorisées au téléchargement. Les autres versions du paquet dans Jessie, Stretch et Sid nâutilisent pas ce correctif mais désactivent par défaut le téléchargement de tout à lâaide de rkhunter.conf. Dans le but de faire que cette version soit cohérente avec toutes les autres distributions et ne casse pas les installations existantes, cela sera fait aussi dans Wheezy.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.4.0-1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets rkhunter.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1039.data" # $Id: $
