Bonjour, ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Dâautres vulnérabilités ont été découvertes dans libplist, une bibliothèque pour lire et écrire le format de binaire et de listes de propriétés XML dâApple. Un fichier plist contrefait de manière malveillante pourrait causer un déni de service (plantage d'application) en déclenchant un dépassement de tampon de tas ou une erreur dâallocation mémoire dans la fonction parse_string_node.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.8-1+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets libplist.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-870.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert quâil existait une vulnérabilité de dépouillement (stripping] TLS dans la bibliothèque smptlib distribuée avec lâinterpréteur CPython.</p> <p>La bibliothèque ne renvoyait pas une erreur si StartTLS échouait, ce qui pouvait permettre à des attaquants de type « homme du milieu » de contourner les protections TLS en exploitant une position de réseau pour bloquer la commande StartTLS.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 3.2.3-7+deb7u1 de python3.2.</p> <p>Nous vous recommandons de mettre à jour vos paquets python3.2.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-871.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert que xrdp, un serveur pour le protocole de bureau distant (RDP), appelait la fonction PAM auth_start_session() dans un emplacement incorrect, conduisant à ce que des modules de session PAM nâétaient pas correctement initialisés, avec une conséquence potentielle de configurations incorrectes ou dâélévation de privilèges, c'est-à -dire un contournement de pam_limits.so.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.5.0-2+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets xrdp.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-872.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert quâil existait une vulnérabilité de fractionnement de réponse HTTP dans apt-cacher, un serveur mandataire pour les dépôts logiciels de Debian et Ubuntu.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 1.7.6+deb7u1 de apt-cacher.</p> <p>Nous vous recommandons de mettre à jour vos paquets apt-cacher.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-873.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans la bibliothèque de décodage JBIG2. Ils pourraient conduire à un déni de service ou à l'exécution de code arbitraire si un fichier dâimage mal formé (habituellement embarqué dans un document PDF) est ouvert.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.13-4~deb7u1.</p> <p>Pour la distribution stable (Jessie), ce problème a été corrigé dans version 0.13-4~deb8u1.</p> <p>Pour la distribution stable à venir (Stretch) et pour la distribution unstable (Sid), ce problème a été corrigé dans version 0.13-4.</p> <p>Nous vous recommandons de mettre à jour vos paquets jbig2dec.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-874.data" # $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts dans PHP (un acronyme récursif pour PHP : Hypertext Preprocessor), un langage de script généraliste au source libre couramment utilisé, particulièrement adapté pour le développement web et pouvant être intégré dans du HTML.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7478";>CVE-2016-7478</a> <p>Zend/zend_exceptions.c dans PHP permet à des attaquants distants de provoquer un déni de service (boucle infinie) à l'aide d'un objet Exception contrefait dans des données sérialisées, un problème relatif à <a href="https://security-tracker.debian.org/tracker/CVE-2015-8876";>CVE-2015-8876</a>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7479";>CVE-2016-7479</a> <p>Lors du processus de désérialisation, le redimensionnement de la table de hachage <q>properties</q> dâun objet sérialisé pourrait conduire à une utilisation de mémoire après libération. Un attaquant distant peut exploiter ce bogue pour obtenir la possibilité dâexécuter du code arbitraire. Bien que le problème de table de propriétés affecte seulement PHP 7, cette modification évite aussi une large gamme dâautres attaques basées sur __wakeup().</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7272";>CVE-2017-7272</a> <p>La fonction fsockopen() utilise le numéro de port qui est défini dans le nom dâhôte plutôt que le numéro passé dans le second paramètre de la fonction. Ce dérèglement peut introduire un autre vecteur dâattaque pour une vulnérabilité dâapplication déjà connue (par exemple, Serveur Side Request Forgery).</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 5.4.45-0+deb7u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets php5.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-875.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Ilja Van Sprundel a découvert que <q>eject</q> (un outil pour éjecter des CD/DVD de lecteurs) ne gérait pas correctement les erreurs renvoyées par setuid/setgid.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 2.1.5+deb1+cvs20081104-13+deb7u1 de eject.</p> <p>Nous vous recommandons de mettre à jour vos paquets eject.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-876.data" # $Id: $
#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Libtiff est vulnérable à plusieurs dépassements de tampon et dépassements d'entier pouvant conduire à un plantage d'application (déni de service) ou pire.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10266";>CVE-2016-10266</a> <p>Dépassement d'entier pouvant conduire à une division par zéro dans TIFFReadEncodedStrip (tif_read.c).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10267";>CVE-2016-10267</a> <p>Erreur de division par zéro dans OJPEGDecodeRaw (tif_ojpeg.c). <a href="https://security-tracker.debian.org/tracker/CVE-2016-10268";>CVE-2016-10268</a></p> <p>Dépassement de tampon de tas dans TIFFReverseBits (tif_swab.c).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-10269";>CVE-2016-10269</a> <p>Dépassement de tampon de tas dans _TIFFmemcpy (tif_unix.c).</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.0.2-6+deb7u11.</p> <p>Nous vous recommandons de mettre à jour vos paquets tiff.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-877.data" # $Id: $
#use wml::debian::translation-check translation="5a92f5ba5c86bcac9b588a3e7656db8f48163007" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6298";>CVE-2017-6298</a> <p>Déréférencement de pointeur Null et valeur de renvoi de calloc non vérifiée.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6299";>CVE-2017-6299</a> <p>Boucle infinie et déni de service dans la fonction TNEFFillMapi dans lib/ytnef.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6300";>CVE-2017-6300</a> <p>Dépassement de tampon dans le champ de version dans lib/tnef-types.h.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6301";>CVE-2017-6301</a> <p>Lectures hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6302";>CVE-2017-6302</a> <p>Dépassement d'entier.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6303";>CVE-2017-6303</a> <p>Ãcriture non valable et dépassement d'entier.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6304";>CVE-2017-6304</a> <p>Lecture hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6305";>CVE-2017-6305</a> <p>Lecture et écritures hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6801";>CVE-2017-6801</a> <p>Accès hors limites avec des champs de taille nulle dans TNEFParse() dans libytnef.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6802";>CVE-2017-6802</a> <p>Lecture hors limites de tampon de tas pour des flux RTF entrants et compressés, relatifs à DecompressRTF() dans libytnef.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.5-4+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libytnef.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-878.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>George Noseevich a découvert que firebird2.5, un système de base de données relationelles, ne vérifiait pas correctement les fonctions définies par lâutilisateur (UDF), par conséquent permettait à des utilisateurs distants authentifiés dâexécuter du code arbitraire sur le serveur firebird.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.5.2.26540.ds4-1~deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets firebird2.5.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-879.data" # $Id: $
