Bonjour, Ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-14xx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-14xx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il existait un défaut de traversée de répertoires dans ruby-sprockets, un système dâempaquetage de ressources basé sur Rack. Un attaquant distant pourrait exploiter ce défaut pour lire des fichiers arbitraires en dehors du répertoire racine de lâapplication à lâaide de requêtes « file:// ».</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été résolus dans la version 2.12.3-1+deb8u1 de ruby-sprockets.</p> <p>Nous vous recommandons de mettre à jour vos paquets ruby-sprockets.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1419.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilité de sécurité ont été trouvées dans Bouncy Castle, une implémentation en Java dâalgorithmes de chiffrement.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1000338";>CVE-2016-1000338</a> <p>DSA ne valide pas complètement les signatures dâencodage ASN.1 lors de vérification. Il est possible dâinjecter des éléments supplémentaires dans la séquence réalisant la signature et la conserver valable, ce qui peut dans certains cas permettre lâintroduction de données <q>invisibles</q> dans la structure signée.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1000339";>CVE-2016-1000339</a> <p>Précédemment, la classe de moteur primaire utilisée pour AES était AESFastEngine. Dû à lâapproche hautement guidée par des tables utilisée dans lâalgorithme, il advient que si le canal des données sur le CPU peut être contrôlé, les accès à la table de recherche sont suffisants pour divulguer des informations sur la clef utilisée. Il existait aussi une brèche dans AESEngine quoique quâelle soit considérablement moindre. AESEngine a été modifié pour supprimer tout signe de brèche et est désormais la classe AES primaire pour le fournisseur de JCE de Bouncy Castle. Lâutilisation dâAESFastEngine est maintenant seulement recommandée où cela semble plus appropriée.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1000341";>CVE-2016-1000341</a> <p>La génération de signatures DSA est vulnérable à des attaques temporelles. Où les horodatages peuvent être observés de près lors de la génération de signatures, le manque dâoffuscation peut permettre à un attaquant dâobtenir des informations sur la valeur k de la signature et en définitive la valeur privée.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1000342";>CVE-2016-1000342</a> <p>ECDSA ne valide pas complètement les signatures dâencodage ASN.1 lors de vérification. Il est possible dâinjecter des éléments supplémentaires dans la séquence réalisant la signature et et la conserver valable, ce qui peut dans certains cas permettre lâintroduction de données <q>invisibles</q> dans la structure signée.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1000343";>CVE-2016-1000343</a> <p>Le générateur de paires de clefs DSA crée une clef privée faible sâil est utilisé avec les valeurs par défaut. Si le générateur de paires de clefs JCA nâest initialisé explicitement avec des paramètres DSA, 1.55 et précédents génèrent une valeur privée en supposant une taille de clef de 1024 bits. Dans les publications précédentes, cela peut être réglé en passant explicitement des paramètres au générateur de paires de clefs.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1000345";>CVE-2016-1000345</a> <p>Le mode CBC DHIES/ECIES est vulnérable à une attaque dâoracle par remplissage. Dans un environnement où les horodatages peuvent être facilement observés, il est possible avec suffisamment dâobservations dâidentifier où le déchiffrement échoue à cause du remplissage.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1000346";>CVE-2016-1000346</a> <p>Dans le fournisseur de JCE de Bouncy Castle, la clef publique DH de lâautre partie nâest pas totalement validée. Cela peut causer des problèmes car des clefs non valables peuvent être utilisées pour révéler des détails sur la clef privée de lâautre partie où Diffie-Hellman statique est utilisé. Comme dans cette publication, les paramètres de clef sont vérifiés par calcul dâagrément.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.49+dfsg-3+deb8u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets bouncycastle.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1418.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il y a eu un certain nombre de mises à jour dans lâensemble de certificats dâautorité (CA) considérés comme <q>valables</q> ou sinon considérés comme fiables.</p> <p> Pour Debian 8 <q>Jessie</q>, ces problèmes ont été résolus dans la version 20141019+deb8u4 de ca-certificates.</p> <p>Nous vous recommandons de mettre à jour vos paquets ca-certificates.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1417.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La bibliothèque HTTP Soup réalisait une validation insuffisante des requêtes de cookie qui pouvait aboutir à une lecture de mémoire hors limites.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2.48.0-1+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libsoup2.4.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1416.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été trouvés dans phpMyAdmin, lâinterface dâadministration de MySQL basée sur le web, incluant attaque par injection SQL, déni de service, exécution de code arbitraire, script intersite, contrefaçon de requête côté serveur, contournement dâauthentification et traversée de système de fichiers.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4:4.2.12-2+deb8u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets phpmyadmin.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1415.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Quelques vulnérabilités de sécurité ont été trouvées dans Mercurial qui permettent à des utilisateurs authentifiés de déclencher lâexécution de code arbitraire et lâaccès à des données non autorisé dans certaine configuration de serveur. Des correctifs et des dépôts malformés peuvent conduire à des plantages et à lâexécution de code arbitraire dans les clients.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-9462";>CVE-2017-9462</a> <p>Dans Mercurial avant 4.1.3, « hg serve --stdio » permet à les utilisateurs authentifiés distants de lancer le débogueur de Python, et par conséquent, exécuter du code arbitraire, en utilisant --debugger comme nom de dépôt.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-17458";>CVE-2017-17458</a> <p>In Mercurial avant 4.4.1, il est possible quâun répertoire malformé pour lâoccasion peut causer que des sous-dépôts exécutent du code arbitraire sous forme de script .git/hooks/post-update vérifié dans le dépôt. Lâutilisation typique de Mercurial empêche la construction de tels dépôts, mais ils peuvent être créés par programmation.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000132";>CVE-2018-1000132</a> <p>Mercurial, version 4.5 et précédentes, contiennent une vulnérabilité de contrôle dâaccès incorrect (CWE-285) dans le serveur de protocole, qui pourrait aboutir à un accès à des données non autorisé. Cette attaque semble être exploitable à lâaide dâune connectivité réseau. Cette vulnérabilité semble avoir été corrigée dans 4.5.1.</p> <li>OVE-20180430-0001 <p>mpatch : prudence lors de lâanalyse de données binaires modifiées</p></li> <li>OVE-20180430-0002 <p>mpatch : protection contre une sous-alimentation dans mpatch_apply</p></li> <li>OVE-20180430-0004 <p>mpatch : assurance quâun élément start nâest pas après la fin dâorig</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 3.1.2-2+deb8u5.</p> <p>Nous vous recommandons de mettre à jour vos paquets mercurial.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1414.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Le paramètre dâappel de /lib/exe/ajax.php dans DokuWiki jusquâà 2017-02-19e nâencodait pas proprement lâentrée de lâutilisateur. Cela conduisait à une vulnérabilité RFD (téléchargement réfléchi de fichier), et permet à des attaquants distants dâexécuter des programmes arbitraires.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.0.20140505.a+dfsg-4+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets dokuwiki.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1413.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités affectant le serveur dâimpression cups ont été trouvées qui peuvent conduire à lâexécution de commande IPP arbitraire et un déni de service.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18190";>CVE-2017-18190</a> <p>Une entrée de liste blanche localhost.localdomain dans valid_host() dans scheduler/client.c dans CUPS avant 2.2.2 permet à des attaquants distants dâexécuter des commandes arbitraires IPP en envoyant des requêtes POST au démon de CUPS en conjonction avec un rattachement DNS. Le nom localhost.localdomain est souvent résolu à lâaide dâun serveur DNS (ni lâOS ni le navigateur ne sont responsables dâassurer que localhost.localdomain soit 127.0.0.1).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18248";>CVE-2017-18248</a> <p>La fonction add_job dans scheduler/ipp.c dans CUPS avant 2.2.6, lorsque la prise en charge de D-Bus est activée, peut être plantée par des attaquants distants en envoyant des travaux dâimpression avec un nom dâutilisateur non valable, en relation avec une notification de D-Bus.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.7.5-11+deb8u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets cups.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1412.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts dans TIFF, la bibliothèque Tag Image File Format, qui permettaient à des attaquants distants de provoquer un déni de service ou un autre impact non précisé à l'aide d'un fichier image contrefait.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-11613";>CVE-2017-11613</a> <p>Vulnérabilité de déni de service : une entrée contrefaite peut conduire à une attaque par déni de service. Lors du processus TIFFOpen, td_imagelength nâest pas vérifié. La valeur de td_imagelength peut être directement contrôlée par un fichier dâentrée. Dans la fonction ChopUpSingleUncompressedStrip, la fonction _TIFFCheckMalloc est appelée en se basant sur td_imagelength. Si la valeur de td_imagelength est réglée proche du montant de la mémoire système, cela plantera le système ou déclenchera la fonction OOM-killer.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10963";>CVE-2018-10963</a> <p>Vulnérabilité de déni de service : la fonction TIFFWriteDirectorySec() dans tif_dirwrite.c dans LibTIFF permet à des attaquants distants de provoquer un déni de service (défaut dâassertion et plantage d'application) à l'aide d'un fichier contrefait. Câest une vulnérabilité différente de <a href="https://security-tracker.debian.org/tracker/CVE-2017-13726";>CVE-2017-13726</a>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5784";>CVE-2018-5784</a> <p>Vulnérabilité de déni de service : dans LibTIFF, il existe une consommation de ressources incontrôlée dans la fonction TIFFSetDirectory de tif_dir.c. Des attaquants distants pourraient exploiter cette vulnérabilité pour provoquer un déni de service à l'aide d'un fichier tif contrefait. Cela arrive parce que le nombre déclaré dâentrées de répertoire nâest pas vérifié par rapport au nombre réel dâentrées de répertoire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7456";>CVE-2018-7456</a> <p>Déréférencement de pointeur NULL : un déréférencement de pointeur NULL se produit dans la fonction TIFFPrintDirectory dans tif_print.c dans LibTIFF lors de lâutilisation de lâoutil tiffinfo pour afficher des informations TIFF contrefaites. Câest une vulnérabilité différente de <a href="https://security-tracker.debian.org/tracker/CVE-2017-18013";>CVE-2017-18013</a> (cela affecte une partie précédente de la fonction TIFFPrintDirectory qui nâétait pas corrigée par le correctif <a href="https://security-tracker.debian.org/tracker/CVE-2017-18013";>CVE-2017-18013</a>).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8905";>CVE-2018-8905</a> <p>Dépassement de tampon basé sur le tas : dans LibTIFF, un dépassement de tampon basé sur le tas se produit dans la fonction LZWDecodeCompat dans tif_lzw.c à l'aide d'un fichier TIFF contrefait, comme démontré par tiff2ps.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 4.0.3-12.3+deb8u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets tiff.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1411.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Pysaml2, une implémentation de Python du Security Assertion Markup Language, acceptait nâimporte quel mot de passe lorsquâexécuté avec les optimisations de Python activées. Cela permet à des attaquants de se connecter sans connaître leur mot de passe.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 2.0.0-1+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-pysaml2.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1410.data" # $Id: $
