Sécurité Debian

DSA-4233 bouncycastle - Mise à jour de sécurité

2018-06-22

L'interface de bas niveau du générateur de paires de clés RSA de Bouncy Castle (une implémentation Java d'algorithmes cryptographiques) pourrait réaliser moins de tests de primalité de Miller-Rabin qu'attendus.

DSA-4232 xen - Mise à jour de sécurité

2018-06-20

Cette mise à jour fournit des moyens pour réduire la vulnérabilité lazy FPU, affectant une série de processeurs Intel, qui pourrait avoir pour conséquence la divulgation des états de registre de CPU appartenant à un autre processeur virtuel précédemment ordonnancé sur le même processeur. Pour davantage d'informations, veuillez vous référer à https://xenbits.xen.org/xsa/advisory-267.html.

DSA-4231 libgcrypt20 - Mise à jour de sécurité

2018-06-17

Libgcrypt est prédisposé à un attaque locale par canal auxiliaire permettant la récupération de clés privées ECDSA.

DSA-4230 redis - Mise à jour de sécurité

2018-06-17

Plusieurs vulnérabilités ont été découvertes dans le sous-système Lua de Redis, une base de données clé-valeur persistante, qui pourraient avoir pour conséquence un déni de service.

DSA-4229 strongswan - Mise à jour de sécurité

2018-06-14

Deux vulnérabilités ont été découvertes dans strongSwan, une suite IKE/IPsec.

DSA-4228 spip - Mise à jour de sécurité

2018-06-14

Plusieurs vulnérabilités ont été découvertes dans SPIP, un système de publication pour Internet, ayant pour conséquence le scriptage intersite et l'injection de code PHP.

DSA-4227 plexus-archiver - Mise à jour de sécurité

2018-06-12

Danny Grander a découvert un défaut de traversée de répertoires dans plexus-archiver, un démon d'archivage pour le système de compilation Plexus, permettant à un attaquant d'écraser n'importe quel fichier accessible en écriture à l'utilisateur réalisant l'extraction, à l'aide d'une archive Zip contrefaite pour l'occasion.

DSA-4226 perl - Mise à jour de sécurité

2018-06-12

Jakub Wilk a découvert un défaut de traversée de répertoires dans le module Archive::Tar de perl, permettant à un attaquant d'écraser n'importe quel fichier accessible en écriture à l'utilisateur réalisant l'extraction, à l'aide d'une archive tar contrefaite pour l'occasion.

DSA-4225 openjdk-7 - Mise à jour de sécurité

2018-06-10

Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation de la plateforme Java d'Oracle, avec pour conséquence un déni de service, un contournement du bac à sable, l'exécution de code arbitraire ou le contournement de la validation de la signature de JAR.

DSA-4224 gnupg - Mise à jour de sécurité

2018-06-08

Marcus Brinkmann a découvert que GnuPG réalisait un nettoyage insuffisant des noms de fichiers affichés dans les messages d'état, ce qui pourrait être détourné pour falsifier l'état de vérification d'un courriel signé.

DSA-4223 gnupg1 - Mise à jour de sécurité

2018-06-08

DSA-4222 gnupg2 - Mise à jour de sécurité

2018-06-08

DSA-4221 libvncserver - Mise à jour de sécurité

2018-06-08

Alexander Peslyak a découvert qu'une vérification manquante d'entrées de paquets RFB dans LibVNCServer pourrait avoir pour conséquence la divulgation de contenus de la mémoire.

DSA-4220 firefox-esr - Mise à jour de sécurité

2018-06-08

Ivan Fratric a découvert un dépassement de tampon dans la bibliothèque graphique Skia utilisée par Firefox. Cela pourrait avoir pour conséquence l'exécution de code arbitraire.

DSA-4219 jruby - Mise à jour de sécurité

2018-06-08

Plusieurs vulnérabilités ont été découvertes dans jruby, une implémentation en Java du langage de programmation Ruby. Elles pourraient permettre à un attaquant d'utiliser des fichiers gem contrefaits pour l'occasion pour monter des attaques par script intersite, provoquer un déni de service au moyen d'une boucle infinie, écrire des fichiers arbitraires ou exécuter du code malveillant.

DSA-4218 memcached - Mise à jour de sécurité

2018-06-06

Plusieurs vulnérabilités ont été découvertes dans memcached, un système de gestion d'objets en mémoire de haute performance. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

DSA-4217 wireshark - Mise à jour de sécurité

2018-06-03

Wireshark, un analyseur de protocole réseau, contenait plusieurs vulnérabilités dans les dissecteurs pour PCP, ADB, NBAP, UMTS MAC, IEEE 802.11, SIGCOMP, LDSS, GSM A DTAP et Q.931, qui ont pour conséquence un déni de service ou l'exécution de code arbitraire.

DSA-4216 prosody - Mise à jour de sécurité

2018-06-02

Prosody, un serveur Jabber/XMPP léger, ne valide pas correctement les paramètres fournis par le client durant les redémarrages de flux XMPP, permettant à des utilisateurs authentifiés d'écraser le domaine (« realm ») associé à leur session, contournant éventuellement les règles de sécurité et permettant des usurpations d'identité.

DSA-4215 batik - Mise à jour de sécurité

2018-06-02

Man Yue Mo, Lars Krapf et Pierre Ernst ont découvert que Batik, une boîte à outils pour le traitement d'images SVG, ne validait pas correctement ses entrées. Cela pourrait permettre à un attaquant de provoquer un déni de service, de monter des attaques par script intersite, ou d'accéder à des fichiers à accès restreint sur le serveur.

DSA-4214 zookeeper - Mise à jour de sécurité

2018-06-01

Zookeeper, un service pour maintenir des informations de configuration, n'imposait aucune authentification ou autorisation lorsqu'un serveur tentait de se joindre à un quorum Zookeeper.

DSA-4213 qemu - Mise à jour de sécurité

2018-05-29

Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur rapide de processeur.

DSA-4212 git - Mise à jour de sécurité

2018-05-29

Etienne Stalmans a découvert que git, un système de gestion de versions distribué, rapide et évolutif, est prédisposé à une vulnérabilité d'exécution de code arbitraire exploitable grâce à des noms de sous-modules contrefaits pour l'occasion dans un fichier .gitmodules.

DSA-4211 xdg-utils - Mise à jour de sécurité

2018-05-25

Gabriel Corona a découvert que xdg-utils, un ensemble d'outils pour l'intégration à l'environnement de bureau, est vulnérable à des attaques par injection d'arguments. Si la variable d'environnement BROWSER dans l'hôte victime comprend un « %s » et si la victime ouvre un lien contrefait par un attaquant avec xdg-open, la partie malveillante pourrait manipuler les paramètres utilisés par le navigateur lors de son ouverture. Cette manipulation pourrait mettre en place, par exemple, un mandataire vers lequel le trafic du réseau pourrait être intercepté pour cette exécution particulière.

DSA-4210 xen - Mise à jour de sécurité

2018-05-25

Cette mise à jour fournit des atténuations pour la variante v4 de Spectre dans les microprocesseurs basés sur x86. Sur les processeurs Intel, cela nécessite une mise à jour du microcode qui n'est pas actuellement diffusée publiquement (mais les vendeurs de matériels peuvent avoir publié une mise à jour). Pour les serveurs avec des processeurs AMD, aucune mise à jour du microcode n'est nécessaire, veuillez vous référer à https://xenbits.xen.org/xsa/advisory-263.html pour davantage d'informations.

DSA-4209 thunderbird - Mise à jour de sécurité

2018-05-25

Plusieurs problèmes de sécurité ont été découverts dans Thunderbird. Cela peut mener à l'exécution de code arbitraire, un déni de service ou des attaques sur des courriels chiffrés.