[RFR3] wml://security/2016/dsa-358{0,1,2,3,4}.wml
Bonjour,
Le 27/05/2016 22:20, Baptiste Jammet a écrit :
> Bonjour,
> Dixit jean-pierre giraud, le 24/05/2016 :
>> Merci d'avance pour vos nouvelles relectures.
> Un contre-sens et une majuscule (absente en VO).
> Baptiste
Corrigé, merci et merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Nikolay Ermishkin de l'équipe de sécurité de Mail.Ru et Stewie ont
découvert plusieurs vulnérabilités dans ImageMagick, un ensemble de
programmes pour manipuler des images. Ces vulnérabilités, connues
collectivement sous le nom de ImageTragick, sont la conséquence de l'absence
de vérification des entrées non fiables. Un attaquant doté du contrôle sur
l'image d'entrée pourrait, avec les droits de l'utilisateur se servant de
l'application, exécuter du code
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3714";>CVE-2016-3714</a>), faire des requêtes HTTP
GET ou FTP (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3718";>CVE-2016-3718</a>),
ou supprimer (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3715";>CVE-2016-3715</a>), déplacer
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3716";>CVE-2016-3716</a>), ou lire
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3717";>CVE-2016-3717</a>) des fichiers locaux.</p>
<p>Ces vulnérabilités sont particulièrement critiques si ImageMagick traite
des images venant de parties distantes, par exemple d'une partie d'un
service web.</p>
<p>La mise à jour désactive les codeurs vulnérables (EPHEMERAL, URL, MVG,
MSL et PLT) et les lectures indirectes par l'intermédiaire du fichier
/etc/ImageMagick-6/policy.xml. En complément, des préventions
supplémentaires sont introduites, y compris quelques vérifications pour les
noms de fichier d'entrée dans les délégués http/https, le retrait complet du
décodeur PLT/Gnuplot et la nécessité de référence explicite dans le nom de
fichier pour les codeurs non sûrs.</p>
<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 8:6.8.9.9-5+deb8u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3580.data"
# $Id: dsa-3580.wml,v 1.2 2016/05/29 10:11:02 jipege1-guest Exp $
Reply to:
- References:
- [RFR] wml://security/2016/dsa-358{0,1,2,3,4}.wml
- From: jean-pierre giraud <jean-pierregiraud@neuf.fr>
- Re: [RFR] wml://security/2016/dsa-358{0,1,2,3,4}.wml
- From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
- [RFR2] wml://security/2016/dsa-358{0,1,2,3,4}.wml
- From: jean-pierre giraud <jean-pierregiraud@neuf.fr>
- Re: [RFR2] wml://security/2016/dsa-358{0,1,2,3,4}.wml
- From: Baptiste Jammet <baptiste@mailoo.org>