Bonjour, ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Secunia Research a découvert plusieurs vulnérabilités dans libtasn1 de GnuTLS pouvant être exploitées par des personnes malveillantes pour une compromission dâun système vulnérable.</p> <p>Deux erreurs dans la fonction « asn1_find_node() » (lib/parser_aux.c) peuvent être exploitées pour provoquer un dépassement de tampon basé sur la pile.</p> <p>Lâexploitation réussie de ces vulnérabilités permet lâexécution de code arbitraire mais nécessite de duper un utilisateur pour traiter des fichiers dâaffectations contrefaits spécialement par, par exemple, un utilitaire de codage asn1.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 2.13-2+deb7u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets libtasn1-3.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-950.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>steelo a découvert une vulnérabilité dâexécution de code à distance dans Samba, un serveur de fichier SMB/CIFS, d'impression et de connexion pour Unix. Un client malveillant avec accès à un partage inscriptible, peut exploiter ce défaut en téléversant une bibliothèque partagée et faisant alors que le serveur la charge et lâexécute.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2:3.6.6-6+deb7u13.</p> <p>Nous vous recommandons de mettre à jour vos paquets samba.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-951.data" # $Id: $
#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans kde4libs, les bibliothèques centrales pour toutes les applications de KDE 4. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6410";>CVE-2017-6410</a> <p>Itzik Kotler, Yonatan Fridburg et Amit Klein de Safebreach Labs ont signalé que les URL ne sont pas vérifiées avant de les passer à FindProxyForURL, permettant éventuellement à un attaquant distant d'obtenir des informations sensibles à l'aide d'un fichier PAC contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8422";>CVE-2017-8422</a> <p>Sebastian Krahmer de SUSE a découvert que le cadriciel KAuth renfermait un défaut logique dans lequel le service invoquant dbus n'est pas correctement vérifié. Ce défaut permet d'usurper l'identité de l'appelant et d'obtenir les droits du superutilisateur à partir d'un compte non privilégié.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2074";>CVE-2013-2074</a> <p>Il a été découvert que KIO afficherait des identifiants dâauthentification dans quelques cas dâerreur.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4:4.8.4-4+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets kde4libs.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-952.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Chris Evans a découvert que graphicsmagick utilisait de la mémoire non initialisée dans le décodeur RLE, permettant à un attaquant distant de divulguer des informations sensibles de lâespace mémoire du processus.</p> <p>Plus dâinformations sont disponibles dans : <a href="https://scarybeastsecurity.blogspot.de/2017/05/bleed-continues-18-byte-file-14k-bounty.html";>https://scarybeastsecurity.blogspot.de/2017/05/bleed-continues-18-byte-file-14k-bounty.html</a></p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.3.16-1.1+deb7u7.</p> <p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-953.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation de la plateforme Java dâOracle, aboutissant à une élévation des privilèges, une injection de nouvelle ligne dans SMTP ou une utilisation de chiffrement non sûr.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 7u131-2.6.9-2~deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openjdk-7.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-954.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Agostino Sarubbo de Gentoo a découvert un dépassement de tampon basé sur le tas en écriture dans le programme rzip lors de la décompression de fichiers contrefaits de manière malveillante.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.1-1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets rzip.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-955.data" # $Id: $
#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8361";>CVE-2017-8361</a> <p>La fonction flac_buffer_copy (flac.c) dans libsndfile 1.0.28 permet à des attaquants distants de provoquer un déni de service (dépassement de tampon et plantage dâapplication) ou dâavoir un autre impact à l'aide d'un fichier audio contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8363";>CVE-2017-8363</a> <p>La fonction flac_buffer_copy (flac.c)dans libsndfile 1.0.28 permet à des attaquants distants de provoquer un déni de service (lecture non valable et plantage dâapplication) à l'aide d'un fichier audio contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8363";>CVE-2017-8363</a> <p>Lae fonction flac_buffer_copy dans flac.c dans libsndfile 1.0.28 permet à des attaquants distants de provoquer un déni de service (lecture hors limites de tampon basé sur le tas et plantage d'application) à l'aide d'un fichier audio contrefait.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8365";>CVE-2017-8365</a> <p>La fonction i2les_array dans pcm.c dans libsndfile 1.0.28 permet à des attaquants distants de provoquer un déni de service (lecture excessive de tampon et plantage d'application) à l'aide d'un fichier audio contrefait.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.0.25-9.1+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libsndfile.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-956.data" # $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3136";>CVE-2017-3136</a> <p>Oleg Gorokhov de Yandex a découvert que BIND ne gère pas correctement certaines requêtes quand DNS64 est utilisé avec l'option « break-dnssec yes; », permettant à un attaquant distant de provoquer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3137";>CVE-2017-3137</a> <p>BIND fait des hypothèses incorrectes sur l'ordre des enregistrements dans la section réponse d'une réponse contenant des enregistrements de ressources CNAME ou DNAME, menant à des situations où BIND quitte avec un échec d'assertion. Un attaquant peut tirer avantage d'une telle situation pour provoquer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3138";>CVE-2017-3138</a> <p>Mike Lalumiere de Dyn, Inc. a découvert que BIND peut quitter avec un échec d'assertion REQUIRE s'il reçoit une chaîne de commande NULL sur son canal de contrôle. Notez que ce correctif est seulement appliqué à Debian comme mesure de renforcement. Des détails sur le problème peuvent être trouvés à l'adresse <a href="https://kb.isc.org/article/AA-01471";>https://kb.isc.org/article/AA-01471</a> .</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1:9.8.4.dfsg.P1-6+nmu2+deb7u16.</p> <p>Nous vous recommandons de mettre à jour vos paquets bind9.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-957.data" # $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9224";>CVE-2017-9224</a> <p>Un problème a été découvert dans Oniguruma 6.2.0, tel quâutilisé dans Oniguruma-mod dans Ruby jusquâà  2.4.1 et mbstring dans PHP jusquâà  7.1.5. Une lecture hors limites de pile se produit dans match_at() lors de recherche dâexpression rationnelle. Une erreur de logique impliquant lâordre de validation et dâaccès dans match_at() pourrait aboutir à une lecture hors limites dâun tampon de pile.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9226";>CVE-2017-9226</a> <p>Un problème a été découvert dans Oniguruma 6.2.0, tel quâutilisé dans Oniguruma-mod dans Ruby jusquâà  2.4.1 et mbstring dans PHP jusquâà  7.1.5. Une écriture ou lecture hors limites de tas se produit dans next_state_val() lors de la compilation dâexpression rationnelle. Des nombres octaux supérieurs à  0xff ne sont pas gérés correctement dans fetch_token() et fetch_token_in_cc(). Une expression rationnelle mal formée contenant un nombre octal de la forme « \700 » produirait une valeur de point de code non valable supérieure à  0xff dans next_state_val(), aboutissant à une corruption de mémoire dâécriture hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9227";>CVE-2017-9227</a> <p>Un problème a été découvert dans Oniguruma 6.2.0, tel quâutilisé dans Oniguruma-mod dans Ruby jusquâà  2.4.1 et mbstring dans PHP jusquâà  7.1.5. Une lecture hors limites de pile se produit dans mbc_enc_len() lors de recherche dâexpression rationnelle. Un traitement non valable de reg->dmin dans forward_search_range() pourrait aboutir à un déréférencement de pointeur non valable, tel quâune lecture hors limites dâun tampon de pile.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9228";>CVE-2017-9228</a> <p>Un problème a été découvert dans Oniguruma 6.2.0, tel quâutilisé dans Oniguruma-mod dans Ruby jusquâà  2.4.1 et mbstring dans PHP jusquâà  7.1.5. Une écriture hors limites de tas se produit dans bitset_set_range() lors de compilation dâexpression rationnelle due à une variable non initialisées dâune transition dâétat incorrecte. Une telle transition dans parse_char_class() pourrait créer un chemin dâexécution laissant une variable locale critique non initialisée jusquâà son exécution comme index, aboutissant à une corruption de mémoire dâécriture hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9229";>CVE-2017-9229</a> <p>Un problème a été découvert dans Oniguruma 6.2.0, tel quâutilisé dans Oniguruma-mod dans Ruby jusquâà  2.4.1 et mbstring dans PHP jusquâà  7.1.5. Un SIGSEGV se produit dans left_adjust_char_head() lors de la compilation dâexpression rationnelle. Un traitement non valable de reg->dmax dans forward_search_range() pourrait aboutir à un déréférencement de pointeur non valable, généralement comme une condition de déni de service immédiat.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 5.9.1-1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libonig.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-958.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert quâil existait une vulnérabilité dâutilisation de mémoire après libération dans la bibliothèque libical dâiCalendar. Des attaquants distants pourraient causer un déni de service et éventuellement lire la mémoire de tas à l'aide d'un fichier .ICS contrefait spécialement.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 0.48-2+deb7u1 de libical.</p> <p>Nous vous recommandons de mettre à jour vos paquets libical.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-959.data" # $Id: $
