[RFR] wml://security/2014/dsa-315{0,2,3,4,5}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Cinq nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Fabian Yamaguchi a découvert plusieurs vulnérabilités dans VLC, un lecteur
de fichiers et flux multimédia:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9626";>CVE-2014-9626</a>

<p>Le démultiplexeur MP4, lors de l'analyse de cases de chaînes de caractères,
ne vérifie pas correctement la longueur de la case, entraînant un possible
dépassement d'entier par le bas lorsque l'on utilise cette valeur de longueur
dans un appel à memcpy(). Cela pourrait permettre à des attaquants distants de
provoquer un déni de service (plantage) ou l'exécution de code arbitraire à 
l'aide de fichiers MP4 contrefaits..</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9627";>CVE-2014-9627</a>

<p>Le démultiplexeur MP4, lors de l'analyse de cases de chaînes de caractères,
ne vérifie pas correctement si la conversion de la longueur de la case d'un
entier 64Â bits en un entier 32Â bits sur les plates-formes 32Â bits ne provoque
pas une troncature, entraînant un possible dépassement de tampon. Cela
pourrait permettre à des attaquants distants de provoquer un déni de service
(plantage) ou l'exécution de code arbitraire à l'aide de fichiers MP4
contrefaits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9628";>CVE-2014-9628</a>

<p>Le démultiplexeur MP4, lors de l'analyse de cases de chaînes de caractères,
ne vérifie pas correctement la longueur de la case, entraînant un possible
dépassement de tampon. Cela pourrait permettre à des attaquants distants de
provoquer un déni de service (plantage) ou l'exécution de code arbitraire à 
l'aide de fichiers MP4 contrefaits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9629";>CVE-2014-9629</a>

<p>Les encodeurs Dirac et Schroedinger n'effectuent pas correctement une
vérification de dépassement d'entier sur les plate-formes 32 bits, entraînant
un possible dépassement de tampon. Cela pourrait permettre à des attaquants
distants de provoquer un déni de service (plantage) ou l'exécution de code
arbitraire.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.0.3-5+deb7u2.</p>

<p>Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.2.0~rc2-2.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.2.0~rc2-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets vlc.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3150.data"
# $Id: dsa-3150.wml,v 1.1 2015/02/07 17:27:22 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Un défaut a été découvert dans la fonction test_compr_eb() permettant un
accès en écriture et en lecture hors limites à des zones mémoire. En
contrefaisant soigneusement une archive ZIP corrompue, un attaquant peut
déclencher un dépassement de zone de mémoire, ayant pour conséquence le
plantage de l'application ou avoir éventuellement un autre impact non indiqué.</p>

<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la
version 6.0-8+deb7u2. Cette mise à jour corrige en plus un correctif défectueux
appliqué pour traiter <a href="https://security-tracker.debian.org/tracker/CVE-2014-8139";>CVE-2014-8139</a>,
qui provoque une régression pour les fichiers jar exécutables.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la
version 6.0-15. Le correctif défectueux appliqué pour traiter
<a href="https://security-tracker.debian.org/tracker/CVE-2014-8139";>CVE-2014-8139</a>
a été corrigé dans la version 6.0-16.</p>

<p>Nous vous recommandons de mettre à jour vos paquets unzip.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3152.data"
# $Id: dsa-3152.wml,v 1.1 2015/02/07 09:28:14 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans krb5, l'implémentation
du MIT de Kerberos :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-5352";>CVE-2014-5352</a>

<p>une gestion incorrecte de mémoire dans la bibliothèque libgssapi_krb5
pourrait avoir pour conséquence un déni de service ou l'exécution de code
arbitraire ;</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9421";>CVE-2014-9421</a>

<p>une gestion incorrecte de mémoire dans le traitement de kadmind des données
XDR pourrait avoir pour conséquence un déni de service ou l'exécution de code
arbitraire ;</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9422";>CVE-2014-9422</a>

<p>un traitement incorrect des noms de principal de serveur à deux composants
pourrait avoir pour conséquence des attaques par usurpation d'identité ;</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9423";>CVE-2014-9423</a>

<p>une fuite d'informations dans la bibliothèque libgssrpc ;</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.10.1+dfsg-5+deb7u3.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.12.1+dfsg-17.</p>

<p>Nous vous recommandons de mettre à jour vos paquets krb5.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3153.data"
# $Id: dsa-3153.wml,v 1.1 2015/02/07 13:02:47 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le paquet ntp, une
implémentation du protocole NTP (<q>Network Time Protocol</q>). Le projet
« Common Vulnerabilities and Exposures » (CVE) identifie les problèmes
suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9297";>CVE-2014-9297</a>

<p>Stephen Roettger de l'équipe de sécurité de Google, Sebastian Krahmer de
l'équipe de sécurité de SUSE et Harlan Stenn de la Network Time Foundation
ont découvert que la valeur de longueur dans les champs d'extension n'est pas
correctement validée dans plusieurs chemins de code de ntp_crypto.c, ce qui
pourrait conduire à une fuite d'informations ou un déni de service (plantage
de ntpd).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9298";>CVE-2014-9298</a>

<p>Stephen Roettger de l'équipe de sécurité de Google a signalé que les listes
de contrôle d'accès (<q>ACL</q>) basées sur les adresses IPv6 ::1 pouvaient
être contournées.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-2+deb7u2.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ntp.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3154.data"
# $Id: dsa-3154.wml,v 1.1 2015/02/07 17:27:22 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans PostgreSQL-9.1, un
système de base de données SQL.</p>

<ul>

<li><p><a href="https://security-tracker.debian.org/tracker/CVE-2014-8161";>CVE-2014-8161</a>Â :
fuite d'informations</p>

<p>Un utilisateur avec des autorisations limitées sur une table pourrait avoir accès à 
des informations sur des colonnes sur lesquelles il ne possède pas de droit
SELECT grâce à des messages d'erreur du serveur.</p></li>

<li><p><a href="https://security-tracker.debian.org/tracker/CVE-2015-0241";>CVE-2015-0241</a>Â :
lecture/écriture hors limites</p>

<p>La fonction to_char() pourrait écrire et lire au-delà de la fin d'un tampon.
Cela pourrait planter le serveur lorsque qu'un modèle de formatage est
appliqué.</p></li>

<li><p><a href="https://security-tracker.debian.org/tracker/CVE-2015-0243";>CVE-2015-0243</a>Â :
débordements de tampon dans contrib/pgcrypto</p>

<p>Le module pgcrypto est vulnérable à des débordements de tampon de pile qui
pourraient planter le serveur.</p></li>

<li><p><a href="https://security-tracker.debian.org/tracker/CVE-2015-0244";>CVE-2015-0244</a>Â :
injection de command SQL</p>

<p>Emil Lenngren a signalé qu'un attaquant peut injecter des commandes SQL
quand la synchronisation entre le client et le serveur est perdue.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 9.1.15-0+deb7u1.</p>

<p>Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 9.1.14-0+deb8u1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 9.1.15-0+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets postgresql-9.1.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3155.data"
# $Id: dsa-3155.wml,v 1.1 2015/02/07 17:27:22 jipege1-guest Exp $