[RFR] wml://security/2016/dsa-374{6,7,8,9}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
quatre nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Gjoko Krstic de Zero Science Labs a découvert que dcmtk, une collection
de bibliothèques implémentant standard DICOM, ne gère pas correctement la
taille des données reçues du réseau. Cela pourrait conduire à un déni de
service (par plantage de l'application) ou à l'exécution de code arbitraire.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.6.0-15+deb8u1.</p>

<p>Pour la distribution testing (Stretch) et la distribution unstable (Sid), ce problème a été corrigé dans la version 3.6.1~20160216-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets dcmtk.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3749.data"
# $Id: dsa-3749.wml,v 1.1 2016/12/31 09:11:55 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Gergely Gábor Nagy de Tresorit a découvert que libcrypto++, une
bibliothèque C++ de cryptographie, renfermait un bogue dans plusieurs
routines d'analyse d'ASN.1. Cela pourrait permettre à un attaquant de
provoquer un déni de service à distance.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.6.1-6+deb8u3.</p>

<p>Pour la distribution testing (Stretch) et la distribution unstable (Sid), ce problème a été corrigé dans la version 5.6.4-5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libcrypto++.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3748.data"
# $Id: dsa-3748.wml,v 1.1 2016/12/31 09:11:55 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Bjoern Jacke a découvert qu'Exim, l'agent de transport de courriel par
défaut de Debian, peut divulguer la clé de signature privée DKIM aux
fichiers de journalisation si des options de configuration spécifiques sont
remplies.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 4.84.2-2+deb8u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets exim4.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3747.data"
# $Id: dsa-3747.wml,v 1.1 2016/12/31 09:11:55 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans GraphicsMagick, une
collection d'outils de traitement d'images, qui peuvent provoquer des
attaques par déni de service, la suppression de fichiers à distance et
l'exécution de commandes à distance.</p>

<p>Cette mise à jour de sécurité retire la prise en charge compète du
décodeur PLT/Gnuplot pour éviter des exploitations de shell basés sur
Gnuplot-shell afin de corriger la vulnérabilité
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3714";>CVE-2016-3714</a>.</p>

<p>Le préfixe magick <q>TMP</q> non documenté ne supprime plus le fichier
d'argument après qu'il a été lu pour corriger la vulnérabilité
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3715";>CVE-2016-3715</a>.
Depuis que la fonctionnalité <q>TMP</q> a été implémentée à l'origine,
GraphicsMagick a ajouté un sous-système de gestion de fichier temporaire
qui assure que les fichiers temporaires sont supprimés, aussi cette
fonctionnalité n'est pas nécessaire.</p>

<p>Retrait de la prise en charge de la lecture d'entrée à partir d'une
commande shell, ou d'écriture de sortie vers une commande shell, en
préfixant le nom de fichier spécifié (contenant la commande) avec un « | »
pour  corriger la vulnérabilité
<a href="https://security-tracker.debian.org/tracker/CVE-2016-5118";>CVE-2016-5118</a>.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8808";>CVE-2015-8808</a>

<p>Gustavo Grieco a découvert une lecture hors limite dans l'analyse de
fichiers GIF qui peut provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2317";>CVE-2016-2317</a>

<p>Gustavo Grieco a découvert un dépassement de tampon de pile et deux
dépassements de tampon de tas lors du traitement d'images SVG qui peuvent
provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2318";>CVE-2016-2318</a>

<p>Gustavo Grieco a découvert plusieurs erreurs de segmentation lors du
traitement d'images SVG qui peuvent provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5240";>CVE-2016-5240</a>

<p>Gustavo Grieco a découvert un problème de boucle infinie provoquée par
des arguments « stroke-dasharray » négatifs lors du traitement de fichier
SVG qui peut provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7800";>CVE-2016-7800</a>

<p>Marco Grassi a découvert un dépassement d'entier non signé par le bas
qui mène à un dépassement de tas lors de l'analyse de bloc de type 8BIM,
souvent attaché aux fichiers JPG, qui peut provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7996";>CVE-2016-7996</a>

<p>Moshe Kaplan a découvert l'absence de vérification que la table de
correspondance de couleur fournie ne contenait pas plus de 256 entrées dans
le lecteur WPG, ce qui peut provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7997";>CVE-2016-7997</a>

<p>Moshe Kaplan a découvert qu'une assertion est passée à certains fichiers
dans le lecteur WPG à cause d'une erreur logique qui peut provoquer un déni
de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8682";>CVE-2016-8682</a>

<p>Agostino Sarubbo de Gentoo a découvert un dépassement de lecture de
tampon de pile lors de la lecture d'en-têtes SCT qui peut provoquer un déni
de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8683";>CVE-2016-8683</a>

<p>Agostino Sarubbo de Gentoo a découvert un échec d'allocation mémoire
dans le codeur PCX qui peut provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8684";>CVE-2016-8684</a>

<p>Agostino Sarubbo de Gentoo a découvert un échec d'allocation mémoire
dans le codeur SGI qui peut provoquer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9830";>CVE-2016-9830</a>

<p>Agostino Sarubbo de Gentoo a découvert un échec d'allocation mémoire
dans la fonction MagickRealloc() qui peut provoquer un déni de service.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.3.20-3+deb8u2.</p>

<p>Pour la distribution testing (Stretch), ces problèmes (à l'exception de
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9830";>
CVE-2016-9830</a>) ont été corrigés dans la version 1.3.25-5.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.3.25-6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3746.data"
# $Id: dsa-3746.wml,v 1.1 2016/12/31 09:11:55 jipege1-guest Exp $