Bonjour, Ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-14xx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-14xx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7651">CVE-2017-7651</a> <p>Correctif pour éviter une consommation extraordinaire de mémoire par un paquet CONNECT contrefait dâun client non authentifié.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7652">CVE-2017-7652</a> <p>Dans le cas où tous les descripteurs de sockets/fichier sont épuisés, il sâagit dâun correctif pour éviter des valeurs de configuration par défaut après le rechargement de configuration avec un signal SIGHUP.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.3.4-2+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets mosquitto.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1409.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12872">CVE-2017-12872</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2017-12868">CVE-2017-12868</a> <p>(1) La source dâauthentification Htpasswd dans le module authcrypt et (2) la classe SimpleSAML_Session dans SimpleSAMLphp 1.14.11 et précédents permettent à des attaquants distants de mener des attaques temporelles par canal auxiliaire en exploitant lâutilisation de lâopérateur de comparaison standard pour comparer le document secret avec lâentrée de lâutilisateur.</p> <p><a href="https://security-tracker.debian.org/tracker/CVE-2017-12868">CVE-2017-12868</a> concernait un correctif un correctif inapproprié de <a href="https://security-tracker.debian.org/tracker/CVE-2017-12872">CVE-2017-12872</a> dans le correctif initial publié par lâamont. Nous avons utilisé le correctif approprié.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.13.1-2+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets simplesamlphp.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1408.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes ont été découverts dans le serveur de base de données MariaDB. Les vulnérabilités sont corrigées en mettant à niveau MariaDB vers la nouvelle version 10.0.35 de lâamont. Veuillez consulter les notes de publication de MariaDB 10.0 pour de plus amples détails :</p> <ul> <li><url "https://mariadb.com/kb/en/mariadb/mariadb-10033-release-notes/"></li> <li><a href="https://mariadb.com/kb/en/mariadb/mariadb-10034-release-notes/">https://mariadb.com/kb/en/mariadb/mariadb-10034-release-notes/</a></li> <li><a href="https://mariadb.com/kb/en/mariadb/mariadb-10035-release-notes/">https://mariadb.com/kb/en/mariadb/mariadb-10035-release-notes/</a></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 10.0.35-0+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mariadb-10.0.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1407.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web Firefox de Mozilla : plusieurs erreurs de sécurité de mémoire et autres erreurs dâimplémentation pourraient conduire à l'exécution de code arbitraire, un déni de service, une contrefaçon de requête intersite ou une divulgation d'informations.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 52.9.0esr-1~deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1406.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Libgcrypt est prédisposé à une attaque locale par canal auxiliaire permettant de récupérer les clefs privées ECDSA.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.6.3-2+deb8u5.</p> <p>Nous vous recommandons de mettre à jour vos paquets libgcrypt20.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1405.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12564">CVE-2018-12564</a> <p>En utilisant la fonction dâajout dâURL dans la page soumise, un utilisateur pourrait lire nâimporte quel fichier sur le serveur, lisible par lavaserver et constitué de YAML valable. Aussi, avec ce correctif, la fonction est de nouveau désactivée.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 2014.09.1-1+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets lava-server.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1404.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4861">CVE-2016-4861</a> <p>Permet à des attaquants distants de mener des attaques par injection SQL en exploitant une faille pour supprimer des commentaires dans une instruction SQL avant validation.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.12.9+dfsg-2+deb8u7.</p> <p>Nous vous recommandons de mettre à jour vos paquets cadriciel zen.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1403.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans exiv2, une bibliothèque C++ et un utilitaire en ligne de commande pour gérer les métadonnées dâimage, aboutissant à un déni de service, une lecture hors limites de tampon basé sur le tas, un épuisement de mémoire et un plantage d'application.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 0.24-4.1+deb8u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets exiv2.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1402.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Divers problèmes de sécurité ont été découverts dans Graphicsmagick, une collection dâoutils de traitement dâimage. Un dépassement de tampon basé sur le tas ou une lecture excessive pourraient conduire à un déni de service ou une divulgation dâinformations en mémoire ou à un autre impact non précisé en traitant un fichier dâimage malformé.</p> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 1.3.20-3+deb8u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1401.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La mise à jour de sécurité de Tomcat 7 annoncée sous DLA-1400-1 introduisait une régression pour les applications utilisant le cadriciel Equinox OSGi. Le fichier MANIFEST de tomcat-jdbc.jar dans libtomcat7-java contient un numéro de version non valable qui dérivait automatiquement de la version de Debian du paquet. Cela provoquait une exception OSGi.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 7.0.56-3+really7.0.88-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1400-2.data" # $Id: $
#use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans le Tomcat servlet moteur de JSP and.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7674">CVE-2017-7674</a> <p>Le filtre CORS dans Apache Tomcat n'ajoutait pas d'en-tête « Vary » HTTP indiquant que la réponse dépendait de lâorigine. Cela pourrait conduire à l'empoisonnement du cache côtés client et serveur dans certaines circonstances.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12616">CVE-2017-12616</a> <p>Lors de lâutilisation de VirtualDirContext avec Tomcat dâApache, il était possible de contourner les contraintes de sécurité et/ou de voir le code source de JSP pour des ressources servies par le VirtualDirContext en utilisant une requête contrefaite pour l'occasion.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1304">CVE-2018-1304</a> <p>Le modèle dâURL de "" (la chaîne vide) qui correspond exactement au contexte du superutilisateur, nâétait pas géré correctement dans Tomcat dâApache lorsquâutilisé comme partie de la définition de restriction. Cela faisait que la restriction était ignorée. Il était, par conséquent, possible pour des utilisateurs non autorisés dâacquérir lâaccès aux ressources de lâapplication web qui auraient dû être protégées. Seules les restrictions de sécurité avec comme modèle dâURL la chaîne vide sont touchées.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1305">CVE-2018-1305</a> <p>Des restrictions de sécurité définies par des annotations de servlet dans Tomcat dâApache étaient seulement appliquées que lorsquâun servlet était chargé. à cause des restrictions de sécurité définies de cette façon appliquées au modèle dâURL et nâimporte quelle URL en découlant, il était possible â en fonction de lâordre de chargement des servlets â que quelques restrictions de sécurité ne soient appliquées. Cela pourrait avoir exposé des ressources à des utilisateurs nâayant pas de droit dâaccès.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-8014">CVE-2018-8014</a> <p>Les réglages par défaut pour le filtre CORS fourni dans Tomcat dâApache ne sont par sûrs et autorisent <q>supportsCredentials</q> pour toutes les origines. Il était prévu que les utilisateurs du filtre CORS devaient lâavoir configuré de manière appropriée à leur environnement plutôt que de lâutiliser avec la configuration par défaut. Par conséquent, il est espéré que la plupart des utilisateurs nâétaient pas impactés par ce problème.</p></li> </ul> <p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la version 7.0.56-3+really7.0.88-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1400.data" # $Id: $