Bonjour, ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Vorbis-tools est vulnérable à plusieurs problèmes pouvant aboutir à un déni de service.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9638";>CVE-2014-9638</a> <p>Erreur de division par zéro dans oggenc avec un fichier WAV dont le nombre de canaux est réglé à zéro.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9639";>CVE-2014-9639</a> <p>Dépassement dâentier dans oggenc à l'aide d'un nombre contrefait de canaux dans un fichier WAV, déclenchant un accès en mémoire hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9640";>CVE-2014-9640</a> <p>Lecture hors limites dans oggenc à l'aide d'un fichier raw contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-6749";>CVE-2015-6749</a> <p>Dépassement de tampon dans la fonction aiff_open dans oggenc/audio.c à l'aide d'un fichier AIFF contrefait.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.4.0-1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets vorbis-tools.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1010.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Les versions 1.8.20p1 de sudo de Todd Miller et précédentes sont vulnérables à une validation dâentrée (nouvelles lignes incorporées) dans la fonction get_process_ttyname(), aboutissant à une divulgation d'informations et une exécution de commande.</p> <p>Lâannonce précédente (DLA-970-1) concernait un problème de sécurité similaire (<a href="https://security-tracker.debian.org/tracker/CVE-2017-1000367";>CVE-2017-1000367</a>) qui nâétait pas entièrement corrigé.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.8.5p2-1+nmu3+deb7u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets sudo.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1011.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Les versions de Puppet avant 4.10.1 désérialisent les données provenant du réseau (de lâagent vers le serveur, dans ce cas) avec un format précisé par lâattaquant. Cela pourrait être utilisé pour obliger la désérialisation de YAML dâune manière non sûre, ce qui pourrait conduire à une exécution de code à distance.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.7.23-1~deb7u4, en activant la sérialisation PSON sur les clients et en refusant les formats non PSON sur le serveur.</p> <p>Nous recommandons de mettre à niveau vos paquets puppet. Soyez sûr de mettre à jour tous les clients avant de mettre à jour le serveur, autrement les vieux clients ne pourront se connecter au serveur.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1012.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le moteur Graphite de rendu de fontes, qui pourraient aboutir à un déni de service ou à l'exécution de code arbitraire si un fichier de fonte mal formé est traité.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.3.10-1~deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets graphite2.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1013.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait une vulnérabilité dâexécution de code arbitraire dans libcamunrar, une bibliothèque pour ajouter la prise en charge dâunrar au logiciel anti-virus Clam.</p> <p>Cela était provoqué par un dépassement d'entier aboutissant à une valeur négative dans la variable « DestPos ». Cela permet à lâattaquant dâécrire hors limites lors du réglage de « Mem[DestPos] ».</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 0.99-0+deb7u2 de libclamunrar.</p> <p>Nous vous recommandons de mettre à jour vos paquets libclamunrar.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1014.data" # $Id: $
#use wml::debian::translation-check translation="e03db691eef0bf1e048da79524a1cbc851b57faf" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait une vulnérabilité de divulgation de clef dans libgcrypt11, une bibliothèque de routines de chiffrement.</p> <p>Il est bien connu que lâimplémentation en temps constant dâexponentiation modulaire ne peut pas utiliser des fenêtres dynamiques. Cependant, les bibliothèques logicielles telles que Libgcrypt, utilisée par GnuPG, continuent dâutiliser des fenêtres dynamiques. Il est largement admis que, même si le modèle complet des carrés et multiplications est observé à travers une attaque par canal auxiliaire, le nombre de bits dâexposant divulgué nâest pas suffisant pour conduire complète de récupération de clef à lâencontre de RSA. En particulier, des fenêtres dynamiques de quatre bits divulguent seulement 40 % des bits, et celles de cinq bits en divulguent seulement 33%.</p> <p>-- Sliding right into disaster : Left-to-right sliding windows leak<br> <url "https://eprint.iacr.org/2017/627";></p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 1.5.0-5+deb7u6 de libgcrypt11.</p> <p>Nous vous recommandons de mettre à jour vos paquets libgcrypt11.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1015.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait un dépassement de tampon basé sur le tas dans radare2, un cadriciel dâingénierie inverse. La fonction grub_memmove permettait à des attaquants de provoquer un déni de service distant.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 0.9-3+deb7u3 de radare2.</p> <p>Nous vous recommandons de mettre à jour vos paquets radare2.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1016.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait une vulnérabilité de déni de service à distance dans la bibliothèque et le lecteur audio mpg123. Cela était dû à une lecture hors limites de tampon basé sur le tas dans la fonction <q>convert_latin1</q>.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 1.14.4-1+deb7u2 de mpg123.</p> <p>Nous vous recommandons de mettre à jour vos paquets mpg123.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1017.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait une vulnérabilité de lecture hors limites de tampon basé sur le tas dans SQLite, un moteur de base de données léger. La fonction getNodeSize dans ext/rtree/rtree.c gère incorrectement les BLOB RTree sous-dimensionnés dans une base de données contrefaite pour l'occasion.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 3.7.13-1+deb7u4 de sqlite3.</p> <p>Nous vous recommandons de mettre à jour vos paquets sqlite3.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1018.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait a une vulnérabilité de script intersite (XSS) dans phpldapadmin, une interface basée sur le web pour administrer des serveurs LDAP.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 1.2.2-5+deb7u1 de phpldapadmin.</p> <p>Nous vous recommandons de mettre à jour vos paquets phpldapadmin.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1019.data" # $Id: $
