Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-xxxx.wml Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un appel XHR/AJAX n'encodait pas correctement les entrées utilisateur dans la plateforme wiki <q>dokuwiki</q>. Cela avait pour conséquence une vulnérabilité de téléchargement de fichier réfléchi (« Reflected file download »).</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.0.20120125b-2+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets dokuwiki.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1269.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Le paquet p7zip a un dépassement de tas dans la méthode NCompress::NShrink::CDecoder::CodeReal dans 7-Zip qui permet à des attaquants distants de provoquer un déni de service (écriture hors limites) ou éventuellement exécuter du code arbitraire à l'aide d'une archive ZIP contrefaite.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 9.20.1~dfsg.1-4+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets p7zip.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1268.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert que Squid, un serveur mandataire cache à haute performance pour des clients web, était vulnérable à des attaques par déni de service associées au traitement de réponses ESI et au téléchargement de certificats d'autorités de certification (CA) intermédiaires.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000027">CVE-2018-1000027</a> <p>Un traitement incorrect de pointeur avait pour conséquence la possibilité pour un client distant transmettant certaines requêtes HTTP, en conjonction avec certaines réponses de serveur de confiance impliquant le traitement de réponses ESI ou le téléchargement de certificats d'autorités de certification (CA) intermédiaires, de déclencher un déni de service pour tous les clients accédant au service Squid.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.7.STABLE9-4.1+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets squid.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1267.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert que Squid, un serveur mandataire cache à haute performance pour des clients web, était vulnérable à des attaques par déni de service associées au traitement de réponses ESI et au téléchargement de certificats d'autorités de certification (CA) intermédiaires.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000024">CVE-2018-1000024</a> <p>Un traitement incorrect de pointeur avait pour conséquence de permettre à un serveur distant de renvoyer une réponse ESI contrefaite qui pourrait déclencher un déni de service pour tous les clients accédant au service Squid. Ce problème affecte l'analyseur ESI personnalisé de Squid.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000027">CVE-2018-1000027</a> <p>Un traitement incorrect de pointeur avait pour conséquence la possibilité pour un client distant transmettant certaines requêtes HTTP, en conjonction avec certaines réponses de serveur de confiance impliquant le traitement de réponses ESI ou le téléchargement de certificats d'autorités de certification (CA) intermédiaires, de déclencher un déni de service pour tous les clients accédant au service Squid.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 3.1.20-2.2+deb7u8.</p> <p>Nous vous recommandons de mettre à jour vos paquets squid3.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1266.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Kerberos, un système pour authentifier les utilisateurs et les services sur un réseau, était affecté par plusieurs vulnérabilités. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1418">CVE-2013-1418</a> <p>Kerberos permet à des attaquants distants de provoquer un déni de service (déréférencement de pointeur NULL et plantage du démon) à l'aide d'une requête contrefaite lorsque de multiples domaines sont configurés.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5351">CVE-2014-5351</a> <p>Kerberos envoie d'anciennes clés dans une réponse à une requête -randkey -keepold. Cela permet à des utilisateurs distants authentifiés de contrefaire des tickets en tirant parti d'un accès d'administration.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5353">CVE-2014-5353</a> <p>Quand KDC utilise LDAP, il permet à des utilisateurs distants authentifiés de provoquer un déni de service (plantage du démon) à l'aide d'une requête LDAP réussie sans résultat, comme cela a été démontré en utilisant un type d'objet incorrect pour une politique de mot de passe.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5355">CVE-2014-5355</a> <p>Kerberos s'attend à ce qu'un champ de données krb5_read_message soit représenté par une chaîne finissant par un caractère « 0 ». Cela permet à des attaquants distants (1) de provoquer un déni de service (déréférencement de pointeur NULL) à l'aide d'une chaîne de version d'octet vide ou (2) de provoquer un déni de service (lecture hors limites) en omettant le caractère « 0 ».</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3119">CVE-2016-3119</a> <p>Kerberos permet à des utilisateurs distants authentifiés de provoquer un déni de service (déréférencement de pointeur NULL et plantage du démon) à l'aide d'une requête contrefaite pour modifier un nom principal.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3120">CVE-2016-3120</a> <p>Kerberos permet à des utilisateurs distants authentifiés de provoquer un déni de service (déréférencement de pointeur NULL et plantage du démon) à l'aide d'une requête S4U2Self.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.10.1+dfsg-5+deb7u9.</p> <p>Nous vous recommandons de mettre à jour vos paquets krb5.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1265.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Ralph Dolmans et Karst Koymans ont découvert un défaut dans la manière dont unbound validait les enregistrements NSEC synthétisés par caractère générique. Un enregistrement NSEC incorrectement validé pourrait être utilisé pour prouver la non existence (réponse NXDOMAIN) d'un enregistrement à caractère générique existant, ou pour forcer unbound à accepter une preuve NODATA.</p> <p>Pour davantage d'informations veuillez consulter l'avertissement des développeurs amont à l'adresse <url "https://unbound.net/downloads/CVE-2017-15105.txt">.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.4.17-3+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets unbound.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1264.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cette mise à jour signale que plusieurs paquets ne sont plus pris en charge par wheezy-lts :</p> <p>teamspeak-server, teamspeak-client, libstruts1.2-java, nvidia-graphics-drivers, glassfish, jbossas4, libnet-ping-external-perl, mp3gain, tor, jasperreports.</p> <p>En ce qui concerne les raisons, consultez les liens fournis dans</p> <p>/usr/share/debian-security-support/security-support-ended.deb8</p> <p>Par ailleurs, elle signale que swftools n'est sûr à l'usage qu'avec des entrées de confiance.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2018.01.29~deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets debian-security-support.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1263.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans le client de messagerie Mozilla Thunderbird : plusieurs erreurs de sécurité de la mémoire, utilisation de mémoire après libération, dépassement d'entiers et d'autres erreurs d'implémentation pourraient conduire à des plantages ou à l'exécution de code arbitraire.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1:52.6.0-1~deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets thunderbird.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1262.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans clamav, la boîte à outils antivirus ClamAV pour Unix. Leurs effets vont du déni de service à une potentielle exécution de code arbitraire. En complément, cette version corrige un problème ancien qui a récemment refait surface à cause du quel une base de données de signatures de virus mal formées peut provoquer un plantage de l'application et un déni de service.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12374">CVE-2017-12374</a> <p>ClamAV a une situation d'utilisation de mémoire après libération découlant d'une absence de validation des entrées. Un attaquant distant pourrait exploiter cette vulnérabilité avec un message électronique contrefait pour provoquer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12375">CVE-2017-12375</a> <p>ClamAV a une vulnérabilité de dépassement de tampon découlant d'une absence de validation des entrées. Un attaquant distant non authentifié pourrait envoyer un message électronique contrefait au périphérique affecté, déclenchant un dépassement de tampon et éventuellement un déni de service lors de l'examen du message malveillant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12376">CVE-2017-12376</a> <p>ClamAV a une vulnérabilité de dépassement de tampon découlant d'une mauvaise validation des entrées lors du traitement de fichiers Portable Document Format (PDF). Un attaquant distant non authentifié pourrait envoyer un fichier PDF contrefait au périphérique affecté, déclenchant un dépassement de tampon et éventuellement un déni de service ou l'exécution de code arbitraire lors de l'examen du fichier malveillant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12377">CVE-2017-12377</a> <p>ClamAV a une vulnérabilité de dépassement de tas découlant d'une mauvaise validation des entrées lors du traitement de paquets mew. Un attaquant pourrait l'exploiter en envoyant un message contrefait message au périphérique affecté, déclenchant un déni de service ou une possible exécution de code arbitraire lors de l'examen du fichier malveillant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12378">CVE-2017-12378</a> <p>ClamAV a une vulnérabilité de lecture hors limite de tampon découlant d'une mauvaise validation des entrées lors du traitement de fichiers d'archive sur bande (TAR). Un attaquant distant non authentifié pourrait envoyé un fichier TAR contrefait au périphérique affecté, déclenchant une lecture hors limite de tampon et éventuellement un déni de service lors de l'examen du fichier malveillant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12379">CVE-2017-12379</a> <p>ClamAV une vulnérabilité de dépassement de tampon découlant d'une mauvaise validation des entrées dans la fonction d'analyse des messages. Un attaquant distant non authentifié pourrait envoyer un message électronique contrefait au périphérique affecté, déclenchant un dépassement de tampon et éventuellement un déni de service ou l'exécution de code arbitraire lors de l'examen du fichier malveillant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12380">CVE-2017-12380</a> <p>ClamAV a une vulnérabilité de déréférencement de pointeur NULL découlant d'une mauvaise validation des entrées dans la fonction d'analyse des messages. Un attaquant distant non authentifié pourrait envoyer un message électronique contrefait au périphérique affecté, déclenchant un déréférencement de pointeur NULL qui peut avoir pour conséquence un déni de service.</p> <li>Debian Bug #824196 <p>Une base de données de signatures de virus mal formées pourrait provoquer un plantage de l'application et un déni de service.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.99.2+dfsg-0+deb7u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets clamav.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1261.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité a été découverte dans la bibliothèque de traitement d'images qui peut avoir pour conséquence un plantage de l'application et un déni de service.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18013">CVE-2017-18013</a> <p>déréférencement de pointeur NULL au moyen d'une image TIFF contrefaite</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 3.9.6-11+deb7u9.</p> <p>Nous vous recommandons de mettre à jour vos paquets tiff3.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1260.data" # $Id: $