[RFR] wml://security/2016/dsa-366{3,4,5}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités dans OpenJPEG, une bibliothèque de compression
et décompression d'image JPEG 2000, peuvent avoir pour conséquence un déni
de service ou l'exécution de code arbitraire lors du traitement d'un
fichier d'image JPEG 2000 malformé.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.1.0-2+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openjpeg2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3665.data"
# $Id: dsa-3665.wml,v 1.1 2016/09/11 22:55:33 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans pdns, un serveur DNS
faisant autorité.
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5426";>CVE-2016-5426</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2016-5427";>CVE-2016-5427</a>

<p>Florian Heinz et Martin Kluge ont signalé que le serveur PowerDNS
faisant autorité accepte des requêtes d'une longueur de qname supérieure à 
255 octets et ne gère pas correctement les points dans les étiquettes. Un
attaquant distant non authentifié peut tirer avantage de ces défauts pour
provoquer une charge anormale sur le dorsal PowerDNS en envoyant des
requêtes DNS contrefaites pour l'occasion, menant éventuellement à un déni
de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6172";>CVE-2016-6172</a>

<p>Il a été signalé qu'un serveur DNS primaire malveillant peut faire
planter un serveur PowerDNS secondaire à cause d'une restriction incorrecte
de limites de taille de zone. Cette mise à jour ajoute une fonctionnalité
pour limiter la taille des AXFR en réponse à ce défaut.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.4.1-4+deb8u6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets pdns.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3664.data"
# $Id: dsa-3664.wml,v 1.1 2016/09/11 22:55:33 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen.
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7092";>CVE-2016-7092</a> (XSA-185)

<p>Jérémie Boutoille de Quarkslab et Shangcong Luan de Alibaba ont
découvert un défaut dans le traitement des entrées de table de page L3
permettant à un administrateur de client PV 32 bits malveillant d'augmenter
ses droits à ceux de l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7094";>CVE-2016-7094</a> (XSA-187)

<p>Des clients HVM x86 s'exécutant avec une pagination «â??shadowâ??» utilisent
un sous-ensemble de l'émulateur x86 pour gérer le client écrivant ses
propres tables de page. Andrew Cooper de Citrix a découvert qu'il y a des
situations, qu'un client peut provoquer, qui peuvent avoir pour conséquence
le dépassement de l'espace alloué pour un état interne. Un administrateur
malveillant de client HVM peut provoquer l'échec d'une vérification de
bogue par Xen, causant un déni de service à l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7154";>CVE-2016-7154</a> (XSA-188)

<p>Mikhail Gorobets d'Advanced Threat Research, Intel Security, a découvert
un défaut d'utilisation de mémoire après libération dans le code du canal
d'événements FIFO. Un administrateur malveillant de client peut planter
l'hôte, menant à un déni de service. L'exécution de code arbitraire (et
donc une augmentation de droits) et des fuites d'informations ne peuvent
pas être exclus.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.4.1-9+deb8u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xen.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3663.data"
# $Id: dsa-3663.wml,v 1.1 2016/09/11 22:55:33 jipege1-guest Exp $