Bonjour, Ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2018/dla-xxxx.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2018/dla-xxxx.wml
Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Wei Lei et Liu Yang de Nanyang Technological University ont découvert un dépassement de pile dans PHP5 lors de lâanalyse dâune réponse HTTP mal formée qui peut être exploité pour provoquer un déni de service.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 5.4.45-0+deb7u13.</p> <p>Nous vous recommandons de mettre à jour vos paquets php5.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1326.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Le correctif pour lâexécution arbitraire de code, documenté dans <a href="https://security-tracker.debian.org/tracker/CVE-2017-17458">CVE-2017-17458</a>, était incomplet dans la publication précédente. Une modification plus complète a été implémentée en amont et désactive entièrement les sous-répertoires non Mercurial à moins que les utilisateurs modifient le réglage de subrepos.allowed.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 3.1.2-2+deb8u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets mercurial.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1414-2.data" # $Id: $
#use wml::debian::translation-check translation="ab3be4ee01879fd4484c795bbaa824377c218575" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La mise à jour précédente de linux échouait dans la construction pour lâarchitecture armhf (ARM EABI hard-float). Cette mise à jour corrige cela. Pour toutes les autres architectures, il est nul besoin de mise à niveau ou de redémarrage. à titre indicatif, la partie concernée de lâannonce originale est la suivante.</p> <p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une élévation des privilèges, un déni de service ou une fuite d'informations.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5715">CVE-2017-5715</a> <p>Plusieurs chercheurs ont découvert une vulnérabilité dans divers processeurs prenant en charge l'exécution spéculative, permettant à un attaquant contrôlant un processus non privilégié de lire la mémoire à partir d'adresses arbitraires, y compris à partir du noyau et de tous les autres processus exécutés dans le système.</p> <p>Cette attaque particulière a été nommée Spectre variante 2 (« branch target injection ») et elle est palliée pour l'architecture Intel x86 (amd64 et i386) en utilisant de nouvelles fonctions dans le microcode.</p> <p>Cette mitigation nécessite une mise à jour du microcode du processeur qui nâest pas libre. Pour les processeurs récents dâIntel, cela est inclus dans le paquet intel-microcode à partir de la version 3.20180425.1~deb8u1. Pour les autres processeurs, cela pourrait être inclus dans une mise à jour du BIOS du système ou du micrologiciel UEFI, ou dans une mise à jour future du paquet amd64-microcode.</p> <p>Cette vulnérabilité a déjà été mitigée pour lâarchitecture x86 avec la fonction <q>retpoline</q>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5753">CVE-2017-5753</a> <p>De nouvelles instances de code vulnérables à Spectre variante 1 (contournement de vérification de limites) ont été mitigées.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1066">CVE-2018-1066</a> <p>Dan Aloni a signalé à Red Hat que lâimplémentation du client CIFS pourrait déréférencer un pointeur NULL si le serveur renvoie une réponse non valable lors du réglage de la négociation NTLMSSP. Cela pourrait être utilisé par un serveur malveillant pour un déni de service.</p> <p>La mitigation appliquée précédemment nâétait pas appropriée pour Linux 3.16 et a été remplacée par un correctif alternatif.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1093">CVE-2018-1093</a> <p>Wen Xu a signalé quâune image de système de fichiers ext4 contrefaite pourrait déclencher une lecture hors limites dans la fonction ext4_valid_block_bitmap(). Un utilisateur local capable de monter des systèmes de fichiers arbitraires pourrait utiliser cela pour un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1130">CVE-2018-1130</a> <p>Le logiciel syzbot a trouvé que lâimplémentation de DCCP de sendmsg() ne vérifie pas lâétat de socket, conduisant éventuellement à un déréférencement de pointeur NULL. Un utilisateur local pourrait utiliser cela pour provoquer un déni de service (plantage).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-3665">CVE-2018-3665</a> <p>Plusieurs chercheurs ont découvert que quelques processeurs x86 dâIntel peuvent de manière spéculative lire des registres floating-point et vector même si lâaccès à ces registres est désactivé. La fonction du noyau Linux <q>lazy FPU</q> repose sur ce contrôle dâaccès pour éviter lâenregistrement et la restitution de ces registres pour des tâches ne les utilisant pas, et était activée par défaut pour les processeurs x86 qui ne prennent pas en charge lâinstruction XSAVEOPT.</p> <p>Si <q>lazy FPU</q> est activé sur un des processeurs affectés, un attaquant contrôlant un processus non privilégié peut être capable de lire des informations sensibles de processus dâautres utilisateurs ou du noyau. Cela affecte particulièrement les processeurs basés sur les conceptions de cÅur <q>Nehalem</q> et <q>Westemere</q>. Ce problème a été mitigé en désactivant <q>lazy FPU</q> par défaut sur tous les processeurs x86 prenant en charge les instructions FXSAVE et FXRSTOR. Cela inclut tous les processeurs connus comme étant affectés et la plupart des processeurs réalisant lâexécution spéculative. Il peut être aussi mitigé en ajoutant le paramètre de noyau : eagerfpu=on.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5814">CVE-2018-5814</a> <p>Jakub Jirasek a signalé une situation de compétition dans le pilote hôte USB/IP. Un client malveillant pourrait utiliser cela pour provoquer un déni de service (plantage ou corruption de mémoire), et éventuellement exécuter du code, sur le serveur USB/IP.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-9422">CVE-2018-9422</a> <p>Il a été signalé que lâappel système futex() pourrait être utilisé par un utilisateur non privilégié pour une augmentation de droits.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10853">CVE-2018-10853</a> <p>Andy Lutomirski et Mika Penttilä ont signalé que KVM pour les processeurs x86 ne réalisait pas la vérification de privilèges nécessaires lors de de lâémulation de certaines instructions. Cela pourrait être utilisé par un utilisateur non privilégié dans une VM de système invité pour augmenter ses droits dans le système invité.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10940">CVE-2018-10940</a> <p>Dan Carpenter a signalé que le pilote de disque optique (cdrom) ne validait pas correctement le parametre pour lâioctl CDROM_MEDIA_CHANGED. Un utilisateur ayant accès à un périphérique cdrom pourrait utiliser cela pour provoquer un déni de service (plantage).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-11506">CVE-2018-11506</a> <p>Piotr Gabriel Kosinski et Daniel Shapira ont signalé que le pilote de disque optique SCSI (sr) nâallouait pas un tampon suffisamment grand pour les données indicatives « sense ». Un utilisateur, ayant accès à un périphérique optique SCSI pouvant produire plus de 64 octets de données indicatives, pourrait utiliser cela pour provoquer un déni de service (plantage ou corruption de mémoire), et éventuellement pour une augmentation de droits.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-12233">CVE-2018-12233</a> <p>Shankara Pailoor a signalé quâune image de système de fichiers JFS contrefaite pourrait déclencher un déni de service (corruption de mémoire). Cela pourrait éventuellement être aussi utilisé pour une augmentation de droits.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-1000204">CVE-2018-1000204</a> <p>Le logiciel syzbot a trouvé que le pilote générique SCSI (sg) pouvait en certaines circonstances permettre de lire des données de tampons non initialisés qui pourraient inclure des informations sensibles du noyau ou dâautres tâches. Cependant, seul les utilisateurs privilégiés avec les capacités CAP_SYS_ADMIN ou CAP_SYS_RAWIO étaient autorisés à cela, donc lâimpact de sécurité était faible ou inexistant.</p></li> </ul> <p>For Debian 8 <q>Jessie</q>, these problems ont été corrigés dans version 3.16.57-1.Cette mise à jour additionally fixes Debian bug #898165, and includes many more bug fixes from stable update 3.16.57.</p> <p>Nous vous recommandons de mettre à jour vos paquets linux.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1422-2.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La mise à jour de sécurité pour slurm-llnl introduisait une régression dans le correctif pour <a href="https://security-tracker.debian.org/tracker/CVE-2018-10995">CVE-2018-10995</a> qui brisait la comptabilité.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 14.03.9-5+deb8u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets slurm-llnl.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1437-2.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La mise à jour de sécurité de mailman publiée dans la DLA-1442-1 introduisait une régression à cause dâun correctif incomplet pour <a href="https://security-tracker.debian.org/tracker/CVE-2018-13796">CVE-2018-13796</a> qui brisait les pages dâaperçu de admin et listinfo.</p> <p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans la version 1:2.1.18-2+deb8u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets mailman.</p> <p>Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS">https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2018/dla-1442-2.data" # $Id: $