Bonjour,
ces dernières (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-xxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-xxx.wml
Merci d’avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Plusieurs problèmes ont été découverts dans PHP (PHP, acronyme récursif :
Hypertext Preprocessor), un langage de script généraliste au source libre
couramment utilisé, particulièrement adapté pour le développement web et pouvant
être incorporé dans du HTML.
https://security-tracker.debian.org/tracker/CVE-2016-10397;>CVE-2016-10397
Un traitement incorrect de divers composants URI dans l'analyseur dâURL
pourrait être utilisé par des attaquants pour contourner des vérifications dâURL
particulières au nom dâhôte.
https://security-tracker.debian.org/tracker/CVE-2017-11143;>CVE-2017-11143
Une libération non valable dans la désérialisation de paramètres
booléens WDDX pourrait être utilisée par des attaquants capables dâinjecter du
XML dans la désérialisation pour planter lâinterpréteur PHP.
https://security-tracker.debian.org/tracker/CVE-2017-11144;>CVE-2017-11144
Le code PEM de garantie de lâextension openssl ne vérifiait pas la valeur de
renvoi de la fonction « sealing » dâOpenSSL, ce qui pourrait conduire à un
plantage de lâinterpréteur PHP.
https://security-tracker.debian.org/tracker/CVE-2017-11145;>CVE-2017-11145
Le manque de vérifications de limites dans le code dâanalyse de lâextension
de date timelib_meridian, pourrait être utilisé par des attaquants capables de
fournir des chaînes de date pour divulguer des informations de lâinterpréteur.
https://security-tracker.debian.org/tracker/CVE-2017-11147;>CVE-2017-11147
Le gestionnaire dâarchive PHAR pourrait être utilisé par des attaquants
fournissant des fichiers dâarchive malveillants pour planter lâinterpréteur PHP
ou, éventuellement, pour divulguer des informations à cause
dâune lecture excessive de tampon dans la fonction phar_parse_pharfile dans
ext/phar/phar.c.
Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans
la version 5.4.45-0+deb7u9.
Nous vous recommandons de mettre à jour vos paquets php5.
Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1034.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS
Il a été découvert quâil existait une vulnérabilité de boucle infinie dans
collectd, un démon de supervision et de collectage de statistiques.
Lorsque une Signature part correcte est reçue par une instance
configurée sans lâoption AuthFile, une boucle infinie apparait dans la
routine parse_packet à cause dâune incrémentation manquante de pointeur pour la
prochaine partie non traitée.
Pour Debian 7 Wheezy, ce problème a été corrigé dans la
version 5.1.0-3+deb7u3 de collectd.
Nous vous recommandons de mettre à jour vos paquets collectd.
# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-884.data"
# $Id: $