[RFR] wml://lts/security/2016/dla-49{0,2,3,4,5}.wml
Bonjour, quelques anciennes annonces de sécurité de plus. Les textes en anglais sont ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-49xx.wml Merci d'avance pour vos relectures. Amicalement, jipege #use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS https://security-tracker.debian.org/tracker/CVE-2016-4008;>CVE-2016-4008 Une boucle infinie a été découverte lors de l'analyse de certificats DER. La fonction _asn1_extract_der_octet dans lib/decoding.c dans Libtasn1 GNU antérieure à 4.8, lorsqu'elle est utilisée sans l'indicateur ASN1_DECODE_FLAG_STRICT_DER, permet à des attaquants distants de provoquer un déni de service (récursion infinie) à l'aide d'un certificat contrefait. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.13-2+deb7u3. Nous vous recommandons de mettre à jour vos paquets libtasn1-3. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-495.data" # $Id: $ #use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Plusieurs vulnérabilités ont été corrigés dans la bibliothèque GNU C de Debian, eglibc : https://security-tracker.debian.org/tracker/CVE-2016-1234;>CVE-2016-1234 Alexander Cherepanov a découvert l'implémentation de glob de glibc était victime d'un dépassement de pile quand il elle était appelée avec l'indicateur GLOB_ALTDIRFUNC et rencontrait un long nom de fichier. https://security-tracker.debian.org/tracker/CVE-2016-3075;>CVE-2016-3075 L'implémentation de getnetbyname dans nss_dns était vulnérable à un dépassement de pile et à un plantage si elle est invoquée pour un nom très long. https://security-tracker.debian.org/tracker/CVE-2016-3706;>CVE-2016-3706 Michael Petlan a signalé que getaddrinfo copiait de grandes quantités de données d'adresses, menant éventuellement à un dépassement de pile. Cela complète le correctif pour le https://security-tracker.debian.org/tracker/CVE-2013-4458;>CVE-2013-4458. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.13-38+deb7u11. Nous vous recommandons de mettre à jour vos paquets eglibc. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-494.data" # $Id: $ #use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS https://security-tracker.debian.org/tracker/CVE-2015-8312;>CVE-2015-8312 Une erreur due à un décalage d'entier dans afs_pioctl.c dans OpenAFS, version antérieure à 1.6.16, pourrait permettre à des utilisateurs locaux de provoquer un déni de service (écrasement de mémoire et plantage du système) à l'aide d'un pioctl avec une taille de tampon d'entrée de 4096 octets. https://security-tracker.debian.org/tracker/CVE-2016-2860;>CVE-2016-2860 La fonction newEntry dans ptserver/ptprocs.c dans OpenAFS, version antérieure à 1.6.17, permet à des utilisateurs distants authentifiés à partir d'un domaine Kerberos étranger de contourner des restrictions d'accès voulues et de créer des groupes arbitraires comme s'ils étaient administrateurs en exploitant un mauvais traitement de l'identifiant du créateur. https://security-tracker.debian.org/tracker/CVE-2016-4536;>CVE-2016-4536 Le client dans OpenAFS, version antérieure à 1.6.17, n'initialise pas correctement les structures (1) AFSStoreStatus, (2) AFSStoreVolumeStatus, (3) VldbListByAttributes et (4) ListAddrByAttributes, ce qui pourrait permettre à des attaquants distants d'obtenir des informations sensibles de la mémoire en exploitant l'accès au trafic d'appel RPC. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.6.1-3+deb7u6. Nous vous recommandons de mettre à jour vos paquets openafs. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-493.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Les scripts du mainteneur de
[RFR2] wml://lts/security/2016/dla-48{5,6,7,8,9}.wml
Bonjour, Le 26/12/2019 à 19:27, JP Guillonneau a écrit : > Bonjour, > > pinaillons, pinaillons ! > > Amicalement. > > -- > Jean-Paul Et c'est corrigé ! De nouvelles relectures ? Amicalement, jipege #use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Cette mise à jour de sécurité corrige un problème de sécurité dans ruby-mail. Nous vous recommandons de mettre à niveau le paquet ruby-mail. Takeshi Terada (Mitsui Bussan Secure Directions, Inc.) a publié un livre blanc intitulé SMTP Injection via recipient email addresses (http://www.mbsd.jp/Whitepaper/smtpi.pdf;>http://www.mbsd.jp/Whitepaper/smtpi.pdf). Ce livre blanc comporte une partie traitant de la manière dont une vulnérabilité de ce type affectait le gem Ruby mail (voir section 3.1). Le livre blanc contient tous les détails spécifiques, mais essentiellement le module du gem Ruby mail est prédisposé à une attaque de destinataire dans la mesure où il ne valide ni ne vérifie pas les adresses de destinataire données. Donc, les attaques décrites dans le chapitre 2 du livre blanc peuvent s'appliquer au gem sans aucune modification. Le gem Ruby mail lui-même n'impose pas de longueur limite aux adresses de courriel, ainsi un attaquant peut envoyer un long message de pourriel à l'aide d'une adresse de destinataire à moins qu'il n'y ait une limite côté application. Cette vulnérabilité n'affecte que les applications qui n'ont pas de validation des entrées. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.4.4-2+deb7u1. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-489.data" # $Id: $ #use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Markus Krell a découvert que xymon (anciennement connu sous le nom de Hobbit), un système de surveillance de réseaux et d'applications, était vulnérable aux problèmes de sécurité suivants : https://security-tracker.debian.org/tracker/CVE-2016-2054;>CVE-2016-2054 Le traitement incorrect des entrées fournies par l'utilisateur dans la commande config peut déclencher un dépassement de pile, menant à un déni de service (au moyen du plantage de l'application) ou à l'exécution de code distant. https://security-tracker.debian.org/tracker/CVE-2016-2055;>CVE-2016-2055 Le traitement incorrect des entrées fournies par l'utilisateur dans la commande config peut conduire à une fuite d'informations en servant des fichiers de configuration sensibles à un utilisateur distant. https://security-tracker.debian.org/tracker/CVE-2016-2056;>CVE-2016-2056 Les commandes traitant la gestion des mots de passe ne valident pas correctement les entrées fournies par l'utilisateur et sont ainsi vulnérables à l'injection de commande shell par un utilisateur distant. https://security-tracker.debian.org/tracker/CVE-2016-2058;>CVE-2016-2058 L'échappement incorrect des entrées fournies par l'utilisateur dans les pages web d'état peut être utilisé pour déclencher des attaques réfléchies par script intersite. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4.3.0~beta2.dfsg-9.1+deb7u1. Nous vous recommandons de mettre à jour vos paquets xymon. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-488.data" # $Id: $ #use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS L'équipe du suivi à long terme (LTS) de Debian ne peut pas continuer à prendre en charge divers paquets dans le cycle de vie prolongé de Wheezy LTS. Le paquet debian-security-support fournit l'outil check-support-status qui aide à alerter les administrateurs des paquets installés dont le suivi de sécurité est limité ou doit prendre fin prématurément. La version 2016.05.24~deb7u1 de debian-security-support met à jour la liste des paquets bénéficiant d'une prise en charge restreinte dans Wheezy LTS, ajoutant les paquets suivants : Paquet sourceDernière version prise en chargeDate de fin de vieInformations complémentaires libv83.8.9.20-26 février 2016https://lists.debian.org/debian-lts/2015/08/msg00035.html;>https://lists.debian.org/debian-lts/2015/08/msg00035.html mediawiki1:1.19.20+dfsg-0+deb7u326 avril
Re: [RFR] wml://lts/security/2016/dla-48{5,6,7,8,9}.wml
Bonjour, pinaillons, pinaillons ! Amicalement. -- Jean-Paul --- dla-489.wml 2019-12-26 19:11:24.991693437 +0100 +++ - 2019-12-26 19:24:20.362231993 +0100 @@ -15,10 +15,10 @@ essentiellement le module du gem Ruby mail est prédisposé à une attaque de destinataire dans la mesure où il ne valide ni ne vérifie pas les adresses de destinataire données. Donc, les attaques décrites dans le -chapitre 2 du livre blanc peuvent s'appliquer au gem dans aucune +chapitre 2 du livre blanc peuvent s'appliquer au gem sans aucune modification. Le gem Ruby mail lui-même n'impose pas de longueur limite aux adresses de courriel, ainsi un attaquant peut envoyer un long -message de spam à l'aide d'une adresse de destinataire à moins qu'il +message de pourriel à l'aide d'une adresse de destinataire à moins qu'il n'y ait une limite côté application. Cette vulnérabilité n'affecte que les applications qui n'ont pas de validation des entrées. --- dla-488.wml 2019-12-26 19:11:24.991693437 +0100 +++ - 2019-12-26 19:21:10.357869632 +0100 @@ -2,8 +2,8 @@ Mise à jour de sécurité pour LTS -Markus Krell a découvert que xymon, (anciennement connu sous le nom de -Hobbit) un système de surveillance de réseaux et d'applications, était +Markus Krell a découvert que xymon (anciennement connu sous le nom de +Hobbit), un système de surveillance de réseaux et d'applications, était vulnérable aux problèmes de sécurité suivants : @@ -30,7 +30,7 @@ https://security-tracker.debian.org/tracker/CVE-2016-2058;>CVE-2016-2058 L'échappement incorrect des entrées fournies par l'utilisateur dans les -pages web de statut peut être utilisé pour déclencher des attaques +pages web dâétat peut être utilisé pour déclencher des attaques réfléchies par script intersite. --- dla-487.wml 2019-12-26 19:11:24.991693437 +0100 +++ - 2019-12-26 19:18:00.794875635 +0100 @@ -23,7 +23,7 @@ Si vous dépendez de ces paquets sur un système exécutant Debian 7 Wheezy, nous vous recommandons de mettre à niveau vers Debian 8 Jessie, la distribution stable actuelle. Notez néanmoins que la -prise en charge de mediawiki est aussi terminé dans Jessie. +prise en charge de mediawiki est aussi terminée dans Jessie. Nous vous recommandons d'installer le paquet debian-security-support pour vérifier l'état de prise en charge des paquets installés sur le
[RFR2] wml://lts/security/2016/dla-48{0,1,1-2,2,3,4}.wml
Bonjour, Le 26/12/2019 à 09:40, JP Guillonneau a écrit : > Bonjour, > > suggestions. > > Amicalement. > > -- > Jean-Paul Suggestions reprises. Amicalement, jipege #use wml::debian::translation-check translation="04d941142caea6346972828d64c63b95b571b8f1" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Plusieurs vulnérabilités de sécurité ont été découvertes dans graphicsmagick un outil pour manipuler des fichiers d'image. GraphicsMagick est un fourchage d'ImageMagick et il est aussi affecté par les vulnérabilités connues collectivement sous le nom d'ImageTragick, qui sont la conséquence de l'absence de vérification des entrées non fiables. Un attaquant doté du contrôle sur l'image d'entrée pourrait, avec les droits de l'utilisateur se servant de l'application, exécuter du code (https://security-tracker.debian.org/tracker/CVE-2016-3714;>CVE-2016-3714), faire des requêtes HTTP GET ou FTP (https://security-tracker.debian.org/tracker/CVE-2016-3718;>CVE-2016-3718), ou supprimer (https://security-tracker.debian.org/tracker/CVE-2016-3715;>CVE-2016-3715), déplacer (https://security-tracker.debian.org/tracker/CVE-2016-3716;>CVE-2016-3716), ou lire (https://security-tracker.debian.org/tracker/CVE-2016-3717;>CVE-2016-3717) des fichiers locaux. Pour traiter ces problèmes les modifications suivantes ont été faites : suppression de la détection ou l'exécution automatiques de MVG basées sur l'en-tête ou l'extension du fichier ; retrait de la possibilité de provoquer la suppression d'un fichier d'entrée basée sur une spécification du nom de fichier ; amélioration de la sûreté de delegates.mgk en retirant la prise en charge de gnuplot, supprimant la prise en charge de page manuelle et en ajoutant -dSAFER à toutes les invocations de ghostscript ; vérification du nettoyage de l'argument nom de fichier premier de l'image MVG pour s'assurer que les chaînes de préfixe « magick: » ne seront pas interprétées. Veuillez noter que ce correctif cassera l'utilisation intentionnelle de chaînes de préfixe magick dans MVG et ainsi certains scripts MVG pourront échouer. Nous allons chercher une solution plus flexible. En complément, les problèmes suivants ont été corrigés : https://security-tracker.debian.org/tracker/CVE-2015-8808;>CVE-2015-8808 Assurance que le décodeur GIF n'utilise pas de données non initialisées et ne provoque pas une lecture hors limites. https://security-tracker.debian.org/tracker/CVE-2016-2317;>CVE-2016-2317 et https://security-tracker.debian.org/tracker/CVE-2016-2318;>CVE-2016-2318 Des vulnérabilités qui permettent de lire ou d'écrire en dehors des limites de la mémoire (tas, pile) ainsi que certains déréférencements de pointeur NULL qui provoquent un déni de service lors de l'analyse de fichiers SVG. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.3.16-1.1+deb7u1. Nous vous recommandons de mettre à jour vos paquets graphicsmagick. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-484.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Il y avait une vulnérabilité de consommation de pile dans la bibliothèque graphique libgd2 qui permettait à des attaquants distants de provoquer un déni de service à l'aide d'un appel imagefilltoborder contrefait. Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 2.0.36~rc1~dfsg-6.1+deb7u3 de libgd2. Nous vous recommandons de mettre à jour vos paquets libgd2. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-482.data" # $Id: $
[RFR] wml://lts/security/2016/dla-48{5,6,7,8,9}.wml
Bonjour, quelques anciennes annonces de sécurité de plus. Les textes en anglais sont ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-48xx.wml Merci d'avance pour vos relectures. Amicalement, jipege #use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Cette mise à jour de sécurité corrige un problème de sécurité dans ruby-mail. Nous vous recommandons de mettre à niveau le paquet ruby-mail. Takeshi Terada (Mitsui Bussan Secure Directions, Inc.) a publié un livre blanc intitulé SMTP Injection via recipient email addresses (http://www.mbsd.jp/Whitepaper/smtpi.pdf;>http://www.mbsd.jp/Whitepaper/smtpi.pdf). Ce livre blanc comporte une partie traitant de la manière dont une vulnérabilité de ce type affectait le gem Ruby mail (voir section 3.1). Le livre blanc contient tous les détails spécifiques, mais essentiellement le module du gem Ruby mail est prédisposé à une attaque de destinataire dans la mesure où il ne valide ni ne vérifie pas les adresses de destinataire données. Donc, les attaques décrites dans le chapitre 2 du livre blanc peuvent s'appliquer au gem dans aucune modification. Le gem Ruby mail lui-même n'impose pas de longueur limite aux adresses de courriel, ainsi un attaquant peut envoyer un long message de spam à l'aide d'une adresse de destinataire à moins qu'il n'y ait une limite côté application. Cette vulnérabilité n'affecte que les applications qui n'ont pas de validation des entrées. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.4.4-2+deb7u1. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-489.data" # $Id: $ #use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Markus Krell a découvert que xymon, (anciennement connu sous le nom de Hobbit) un système de surveillance de réseaux et d'applications, était vulnérable aux problèmes de sécurité suivants : https://security-tracker.debian.org/tracker/CVE-2016-2054;>CVE-2016-2054 Le traitement incorrect des entrées fournies par l'utilisateur dans la commande config peut déclencher un dépassement de pile, menant à un déni de service (au moyen du plantage de l'application) ou à l'exécution de code distant. https://security-tracker.debian.org/tracker/CVE-2016-2055;>CVE-2016-2055 Le traitement incorrect des entrées fournies par l'utilisateur dans la commande config peut conduire à une fuite d'informations en servant des fichiers de configuration sensibles à un utilisateur distant. https://security-tracker.debian.org/tracker/CVE-2016-2056;>CVE-2016-2056 Les commandes traitant la gestion des mots de passe ne valident pas correctement les entrées fournies par l'utilisateur et sont ainsi vulnérables à l'injection de commande shell par un utilisateur distant. https://security-tracker.debian.org/tracker/CVE-2016-2058;>CVE-2016-2058 L'échappement incorrect des entrées fournies par l'utilisateur dans les pages web de statut peut être utilisé pour déclencher des attaques réfléchies par script intersite. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4.3.0~beta2.dfsg-9.1+deb7u1. Nous vous recommandons de mettre à jour vos paquets xymon. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-488.data" # $Id: $ #use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS L'équipe du suivi à long terme (LTS) de Debian ne peut pas continuer à prendre en charge divers paquets dans le cycle de vie prolongé de Wheezy LTS. Le paquet debian-security-support fournit l'outil check-support-status qui aide à alerter les administrateurs des paquets installés dont le suivi de sécurité est limité ou doit prendre fin prématurément. La version 2016.05.24~deb7u1 de debian-security-support met à jour la liste des paquets bénéficiant d'une prise en charge restreinte dans Wheezy LTS, ajoutant les paquets suivants : Paquet sourceDernière version prise en chargeDate de fin de vieInformations complémentaires libv83.8.9.20-26 février 2016https://lists.debian.org/debian-lts/2015/08/msg00035.html;>https://lists.debian.org/debian-lts/2015/08/msg00035.html mediawiki1:1.19.20+dfsg-0+deb7u326 avril
DOC obsolète - Utiliser et configurer Debian pour le français
Bonjour à tous, Récemment sur la liste de diffusion debian-user-french@l.d.o la documentation « Utiliser et configurer Debian pour le français » a été évoqué. Cette documentation a un paquet lié, « doc-debian-fr » [1]. N'étant pas à jour depuis plus de 12 ans, le paquet a été retiré pour Buster [2]. Un lien vers cette documentation est présent sur la version Française de la page des « Manuels pour les utilisateurs de Debian » [3]. Pour éviter l'utilisation de cette documentation, je vais la déplacer dans page des documentations obsolètes. Je me suis permis de mettre en copie les listes les plus adaptés pour trouver des volontaires pour reprendre cette documentation. Si vous souhaitez participer à la refonte de cette documentation, merci de bien vouloir vous faire connaître en répondant à ce présent courriel sur la liste de diffusion debian-user-fre...@lists.debian.org À défaut de volontaires, cette documentation restera dans l'état obsolète. [1] https://tracker.debian.org/pkg/doc-debian-fr [2] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=947104 [3] https://www.debian.org/doc/user-manuals#l10n-french Cordialement, Alban
[RFR] wml://lts/security/2017/dla-112{0-9}.wml
Bonjour, ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-.wml Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Joernchen a découvert que la sous-commande git-cvsserver de Git, un système de gestion de versions décentralisé, était sujette à une vulnérabilité dâinjection de commande dâinterpréteur due à un opérateur guillemet oblique de Perl. La sous-commande git-cvsserver était accessible à partir de la sous-commande git-shell même si la prise en charge de CVS nâétait configurée (cependant le paquet git-cvs devait être installé). Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1:1.7.10.4-1+wheezy6. Nous vous recommandons de mettre à jour vos paquets git. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1120.data" # $Id: $ #use wml::debian::translation-check translation="e03db691eef0bf1e048da79524a1cbc851b57faf" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Il existait une vulnérabilité de lecture hors limites dans curl, une bibliothèque en ligne de commande pour le transfert de données par HTTP/FTP, etc. Un serveur FTP malveillant pourrait détourner cela pour empêcher des clients basés sur curl dâinteragir avec lui. See https://curl.haxx.se/docs/adv_20171004.html;> pour more details. Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 7.26.0-1+wheezy21 de curl. Nous vous recommandons de mettre à jour vos paquets curl. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1121.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Une vulnérabilité de sécurité a été découverte dans Asterisk, une boîte à outils au code source ouvert dâautocommutateur (PBX) et de téléphonie, qui pourrait conduire à une exécution de commande non autorisée. Le module app_minivm possédait une option de configuration de programme externnotify exécutée par lâapplication de plan de numérotation MinivmNotify. Lâapplication utilise le nom dâidentifiant et le numéro dâappelant comme partie de la chaîne construite passée à lâinterpréteur du système dâexploitation pour son interprétation et exécution. Puisque ceux-ci proviennent dâune source non fiable, un nom et numéro contrefaits permettaient une injection de commande arbitraire dâinterpréteur. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1:1.8.13.1~dfsg1-3+deb7u7. Nous vous recommandons de mettre à jour vos paquets asterisk. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS;>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1122.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Il existait un problème dans la bibliothèque du langage de programmation Go permettant à un attaquant de générer une requête MIME de façon que le serveur soit à court de descripteurs de fichier. Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 2:1.0.2-1.1+deb7u1 de golang. Nous vous recommandons de mettre à jour vos paquets golang. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1123.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Felix Wilhelm, Fermin J. Serna, Gabriel Campana, Kevin Hamacher, Ron Bowes et Gynvael Coldwind de l'équipe de sécurité de Google ont découvert plusieurs vulnérabilités dans dnsmasq, un petit mandataire de cache DNS et serveur DHCP/TFTP qui pouvaient aboutir à un déni de service, une fuite d'informations ou une exécution de code arbitraire. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.62-3+deb7u4. Nous vous recommandons de mettre à jour vos paquets
Re: [RFR] wml://lts/security/2016/dla-48{0,1,1-2,2,3,4}.wml
Bonjour, suggestions. Amicalement. -- Jean-Paul --- dla-484.wml 2019-12-26 08:50:24.920976551 +0100 +++ - 2019-12-26 09:39:18.566651651 +0100 @@ -20,7 +20,7 @@ (https://security-tracker.debian.org/tracker/CVE-2016-3717;>CVE-2016-3717) des fichiers locaux. -Pour traiter ces problèmes les modifications ont été faites : +Pour traiter ces problèmes les modifications suivantes ont été faites : @@ -30,15 +30,15 @@ retrait de la possibilité de provoquer la suppression d'un fichier d'entrée basée sur une spécification du nom de fichier ; -amélioration de la sureté de delegates.mgk en retirant la prise en +amélioration de la sûreté de delegates.mgk en retirant la prise en charge de gnuplot, supprimant la prise en charge de page manuelle et en ajoutant -dSAFER à toutes les invocations de ghostscript ; -vérification de la sécurité de l'argument nom de fichier premier de +vérification du nettoyage de l'argument nom de fichier premier de l'image MVG pour s'assurer que les chaînes de préfixe « magick: » ne seront pas interprétées. Veuillez noter que ce correctif cassera l'utilisation intentionnelle de chaînes de préfixe magick dans MVG et ainsi certains -scripts MVG peuvent échouer. Nous allons chercher une solution plus +scripts MVG pourront échouer. Nous allons chercher une solution plus flexible. @@ -56,7 +56,7 @@ https://security-tracker.debian.org/tracker/CVE-2016-2318;>CVE-2016-2318 Des vulnérabilités qui permettent de lire ou d'écrire en dehors des -limites de la mémoire (tas, pile) ainsi que certains déréférencement de +limites de la mémoire (tas, pile) ainsi que certains déréférencements de pointeur NULL qui provoquent un déni de service lors de l'analyse de fichiers SVG. --- dla-482.wml 2019-12-26 08:50:24.920976551 +0100 +++ - 2019-12-26 09:07:43.918389581 +0100 @@ -2,7 +2,7 @@ Mise à jour de sécurité pour LTS Il y avait une vulnérabilité de consommation de pile dans la -bibliothèque graphique libgd2qui permettait à des attaquants distants de +bibliothèque graphique libgd2 qui permettait à des attaquants distants de provoquer un déni de service à l'aide d'un appel imagefilltoborder contrefait.
[LCFC2] wml://lts/security/2017/dla-117{0-9}.wml
Bonjour, le mercredi 25 décembre 12:29, Jean-Pierre Giraud a écrit : >Quelques détails Merci Jean-Pierre, intégrés. Remarque : les espaces superflues sont supprimées automatiquement lors de la construction du site. Dernière chance de commentaire. Amicalement. -- Jean-Paul