[RFR] wml://lts/security/2018/dla-137{0..9}wml
Bonjour, Ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-13xx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-13xx.wml Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="ec63203ae7c88b70ad002f6a6d89bd22297d4fb8" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Il existait un problème dans curl, un outil en ligne de commande pour le téléchargement (par exemple) de données à lâaide de HTTP. curl pourrait avoir été trompé pour lire des données au-delà de la fin du tampon basé sur le tas, utiliséé pour stocker le contenu téléchargé. Pour plus dâinformations, Veuillez consulter lâannonce de lâamont sur : https://curl.haxx.se/docs/adv_2018-b138.html";> Pour Debian 7 Wheezy, ces problèmes ont été résolus dans la version 7.26.0-1+wheezy25+deb7u1 de curl. Nous vous recommandons de mettre à jour vos paquets curl. # do not modify le following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1379.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Un dépassement de tampon basé sur le tas a été découvert dans la fonction LZWDecodeCompat dans tif_lzw.c (LibTIFF 4.0.9 et versions précédentes). Cette vulnérabilité peut être exploitée par des attaquants distants pour planter le client à l'aide d'un fichier contrefait TIFF LZW. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.9.6-11+deb7u11. Nous vous recommandons de mettre à jour vos paquets tiff3. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1378.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Un dépassement de tampon basé sur le tas a été découvert dans la fonction LZWDecodeCompat dans tif_lzw.c (LibTIFF 4.0.9 et versions précédentes). Cette vulnérabilité peut être exploitée par des attaquants distants pour planter le client à l'aide d'un fichier contrefait TIFF LZW. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4.0.2-6+deb7u20. Nous vous recommandons de mettre à jour vos paquets tiff. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1377.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Plusieurs problèmes de sécurité ont été découverts dans le navigateur web Firefox de Mozilla : plusieurs erreurs de sécurité de mémoire et dâautres erreurs dâimplémentation pourraient conduire à l'exécution de code arbitraire ou à un déni de service. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 52.8.0esr-1~deb7u1. Nous vous recommandons de mettre à jour vos paquets firefox-esr. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1376.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Harry Sintonen a découvert une vulnérabilité dâinjection de cookie dans wget causée par une validation insuffisante des entrées, permettant à un attaquant externe dâinjecter des valeurs de cookie dans un fichier jar de cookie, ajoutant de nouvelles valeurs ou remplaçant les anciennes. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.13.4-3+deb7u6. Nous vous recommandons de mettre à jour vos paquets wget. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do
Re: [RFR] wml://lts/security/2018/dla-137{0..9}wml
Bonjour, Dixit JP Guillonneau, le 15/05/2019 : >Ces (anciennes) annonces de sécurité ont été publiées. Quelques propositions. Baptiste --- 08bb.dla-1373.wml 2019-05-18 09:35:35.217075216 +0200 +++ ./08bb.dla-1373-bj.wml 2019-05-18 09:36:59.712132290 +0200 @@ -2,7 +2,7 @@ Mise à jour de sécurité pour LTS Plusieurs problèmes ont été découverts dans PHP (acronyme récursif pour PHP: -Hypertext Preprocessor), un langage générique de scriptage au code source ouvert +Hypertext Preprocessor), un langage générique de script au code source ouvert et largement utilisé, particulièrement adapté au développement web et embarquable dans du HTML. @@ -12,7 +12,7 @@ Les processus fils FPM déchargeables permettaient le contournement des contrôles d'accès d'opcache car fpm_unix.c réalise un appel prctl PR_SET_DUMPABLE -permettant à un utilisateur (dans un environnement multiutilisateur) dâobtenir +permettant à un utilisateur (dans un environnement multi-utilisateur) dâobtenir des informations sensibles de la mémoire de processus dâapplications PHP dâun autre utilisateur en exécutant gcore sur le PID du processus de worker PHP-FPM. --- 08be.dla-1374.wml 2019-05-18 09:38:10.287344706 +0200 +++ ./08be.dla-1374-bj.wml 2019-05-18 09:38:19.911237307 +0200 @@ -3,7 +3,7 @@ Un attaquant distant authentifié peut exécuter du code arbitraire dans le serveur SQL Firebird, versions 2.5.7 et 3.0.2 en exécutant une instruction -SQL malformée. La seul solution connue est de désactiver le chargement des +SQL malformée. La seule solution connue est de désactiver le chargement des bibliothèques UDF. Pour cela, la configuration par défaut a été modifiée à UdfAccess=None. Cela empêchera le module fbudf dâêtre chargé, mais cela peut briser dâautres fonctionnalités reposant sur des modules. --- 08c3.dla-1377.wml 2019-05-18 09:39:20.590560156 +0200 +++ ./08c3.dla-1377-bj.wml 2019-05-18 09:39:35.782390621 +0200 @@ -4,7 +4,7 @@ Un dépassement de tampon basé sur le tas a été découvert dans la fonction LZWDecodeCompat dans tif_lzw.c (LibTIFF 4.0.9 et versions précédentes). Cette vulnérabilité peut être exploitée par des attaquants distants pour planter le -client à l'aide d'un fichier contrefait TIFF LZW. +client à l'aide d'un fichier TIFF LZW contrefait. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4.0.2-6+deb7u20. --- 08c8.dla-1378.wml 2019-05-18 09:39:48.454249209 +0200 +++ ./08c8.dla-1378-bj.wml 2019-05-18 09:39:58.606135919 +0200 @@ -4,7 +4,7 @@ Un dépassement de tampon basé sur le tas a été découvert dans la fonction LZWDecodeCompat dans tif_lzw.c (LibTIFF 4.0.9 et versions précédentes). Cette vulnérabilité peut être exploitée par des attaquants distants pour planter le -client à l'aide d'un fichier contrefait TIFF LZW. +client à l'aide d'un fichier TIFF LZW contrefait. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.9.6-11+deb7u11. --- 08cb.dla-1379.wml 2019-05-18 09:40:25.437836489 +0200 +++ ./08cb.dla-1379-bj.wml 2019-05-18 09:40:33.805743108 +0200 @@ -5,7 +5,7 @@ téléchargement (par exemple) de données à lâaide de HTTP. curl pourrait avoir été trompé pour lire des données au-delà de la fin du -tampon basé sur le tas, utiliséé pour stocker le contenu téléchargé. +tampon basé sur le tas, utilisé pour stocker le contenu téléchargé. Pour plus dâinformations, Veuillez consulter lâannonce de lâamont sur : pgpJfvx0ZVgEh.pgp Description: Signature digitale OpenPGP