Bonjour, ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cette mise à jour corrige plusieurs vulnérabilités dans imagemagick : divers problèmes de gestion de la mémoire et de cas de nettoyage des entrées manquants ou incomplets, pourraient aboutir à un déni de service, une divulgation de la mémoire ou lâexécution de code arbitraire si des fichiers DCM, PCX, JPEG, PSD, HDR, MIFF, PDB, VICAR, SGI, SVG, AAI, MNG, EXR, MAT, SFW, JNG, PCD, XWD, PICT, BMP, MTV, SUN, EPT, ICON, DDS, ou ART sont traités.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 6.7.7.10-5+deb7u14.</p> <p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-960.data" # $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7650";>CVE-2017-7650</a> <p>Des filtres basés sur les ACL peuvent être contournés par des clients réglant leur identifiant nom_utilisateur/client à « # » ou « + ». Cela permet à des clients connectés localement ou à distance dâaccéder à des sujets MQTT dont ils doivent avoir les droits. Le même problème peut être présent dans les greffons de contrôle dâauthentification dâaccès de tierce partie pour Mosquitto.</p> <p>La vulnérabilité se produit uniquement quand les filtres basés sur les ACL sont utilisés ou, éventuellement, lorsque les greffons de tierce partie sont utilisés.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.15-2+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mosquitto.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-961.data" # $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8911";>CVE-2017-8911</a> <p>Un dépassement d'entier par le bas a été identifié dans la fonction unicode_to_utf8() dans tnef 1.4.14. Cela pouvait conduire à des opérations dâécriture non valables, contrôlées par lâattaquant.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.4.9-1+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets tnef.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-962.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert que la bibliothèque exiv2 échoue à analyser quelques images tiff, conduisant à un déni de service par plantage de lâapplication.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.23-1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets exiv2.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-963.data" # $Id: $
#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans lâhyperviseur Xen. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9932";>CVE-2016-9932</a> (XSA-200) <p>Lâémulation de CMPXCHG8B permet à des utilisateurs de système dâexploitation cliente dâHVM dâobtenir des informations sensibles de la mémoire de pile de lâhôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7995";>CVE-2017-7995</a> <p>Description : Xen vérifie les permissions dâaccès à des gammes MMIO seulement après lâaccès, permettant des lectures dâespace mémoire de périphériques PCI dâhôte .</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8903";>CVE-2017-8903</a> (XSA-213) <p>Xen gère incorrectement les tables des pages après un appel dâhyperviseur IRET qui peut conduire à lâexécution de code arbitraire sur le système dâexploitation client. La vulnérabilité est seulement exposée aux clients de paravirtualisation de 64 bits.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8904";>CVE-2017-8904</a> (XSA-214) <p>Xen gère incorrectement la propriété <q>contains segment descriptors</q> lors de GNTTABOP_transfer. Cela pouvait permettre aux utilisateurs de paravirtualisation de système dâexploitation invité dâexécuter du code arbitraire sur le système dâexploitation hôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8905";>CVE-2017-8905</a> (XSA-215) <p>Xen gère incorrectement de la fonction de rappel à sécurité intégrée. Cela pourrait permettre aux utilisateurs de paravirtualisation de système dâexploitation invité dâexécuter du code arbitraire sur le système dâexploitation hôte.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.1.6.lts1-8.</p> <p>Nous vous recommandons de mettre à jour vos paquets xen.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-964.data" # $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution de virtualisation complète pour les hôtes Linux sur du matériel x86 avec des clients x86, basée sur Quick Emulator (Qemu).</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9602";>CVE-2016-9602</a> <p>Quick Emulator (Qemu) construit avec VirtFS, le partage de répertoires dâhôte à lâaide de la prise en charge du système de fichiers Plan 9 (9pfs), est vulnérable à un problème de suivi de lien incorrect. Il pourrait se produire lors de lâaccès à des fichiers de lien symbolique sur un répertoire hôte partagé.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour accéder au système de fichiers hôte au-delà du répertoire partagé et éventuellement augmenter ses privilèges sur lâhôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7377";>CVE-2017-7377</a> <p>Quick Emulator (Qemu) construit avec la prise en charge du dorsal virtio-9p est vulnérable à un problème de fuite de mémoire. Il pourrait se produire lors dâune opération dâE/S à lâaide dâune routine v9fs_create/v9fs_lcreate.</p> <p>Un utilisateur ou processus privilégié dans un client pourrait utiliser ce défaut pour divulguer la mémoire de lâhôte aboutissant à un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7471";>CVE-2017-7471</a> <p>Quick Emulator (Qemu) construit avec VirtFS, le partage de répertoires dâhôte à lâaide de la prise en charge du système de fichiers Plan 9 (9pfs), est vulnérable à un problème de contrôle dâaccès incorrect. Il pourrait se produire lors de lâaccès à des fichiers du répertoire partagé de lâhôte.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour accéder au-delà du répertoire partagé et éventuellement augmenter ses privilèges sur lâhôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7493";>CVE-2017-7493</a> <p>Quick Emulator (Qemu) construit avec VirtFS, le partage de répertoires dâhôte à lâaide de la prise en charge du système de fichiers Plan 9 (9pfs), est vulnérable à un problème de contrôle dâaccès incorrect. Il pourrait se produire lors dâaccès de fichiers de métadonnées virtfs avec le mode de sécurité mapped-file.</p> <p>Un utilisateur de client pourrait utiliser cela défaut pour augmenter ses droits dans le client.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8086";>CVE-2017-8086</a> <p>Quick Emulator (Qemu) construit avec la prise en charge du dorsal virtio-9p est vulnérable à une fuite de mémoire. Elle pourrait se produire lors de la requête dâattributs étendus de système de fichiers à lâaide dâune routine 9pfs_list_xattr().</p> <p>Un utilisateur ou processus privilégié dans un client pourrait utiliser ce défaut pour divulguer la mémoire de lâhôte aboutissant à un déni de service.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u22.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-965.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert que pngquant est susceptible à un problème de dépassement de tampon en écriture déclenchée par une image png contrefaites de manière malveillante. Cela pourrait conduire à un déni de service ou dâautres problèmes.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.0-4.1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets pngquant.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-966.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Gajim met en Åuvre XEP-0146, une extension pour exécuter des commandes à distance à partir dâun autre client. Cependant, il a été découvert quâun serveur malveillant pourrait déclencher des commandes pouvant conduire à divulguer des conversations privées de sessions chiffrées. Pour résoudre cela, cette prise en charge de XEP-0146 a été désactivée par défaut.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.15.1-4.1+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets gajim.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-967.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs dépassements de tampon basé sur le tas et déréférencements de pointeur NULL ont été découverts dans libpodofo, une bibliothèque pour manipuler des fichiers PDF. Ils permettaient à des attaquants distants de provoquer un déni de service (plantage d'application) ou dâavoir un autre impact non précisé à l'aide d'un document PDF contrefait.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.9.0-1.1+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libpodofo.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-968.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans libtiff, une bibliothèque de prise en charge pour TIFF (Tag Image FILE Format). Elles pouvaient aboutir à un déni de service (lecture hors limites ou échec dâassertion) à l'aide d'un fichier TIFF contrefait.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.0.2-6+deb7u13.</p> <p>Nous vous recommandons de mettre à jour vos paquets tiff.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-969.data" # $Id: $
