[RFR] wml://security/2017/dsa-379{6,7,8,9}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
quatre nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour corrige plusieurs vulnérabilités dans imagemagick :
divers problèmes de traitement de mémoire et cas de vérifications manquantes
ou incomplètes des entrées peuvent avoir pour conséquence un déni de service
ou l'exécution de code arbitraire lors du traitement de fichiers TIFF, WPG,
IPL, MPC ou PSB malformés.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 8:6.8.9.9-5+deb8u7.</p>

<p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 8:6.9.7.4+dfsg-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 8:6.9.7.4+dfsg-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3799.data"
# $Id: dsa-3799.wml,v 1.1 2017/03/02 09:27:57 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Eric Sesterhenn, de X41 D-Sec GmbH, a découvert plusieurs vulnérabilités
dans tnef, un outil pour désarchiver les pièces jointes MIME de type
<q>application/ms-tnef</q>. Plusieurs dépassements de tas, confusions de
type, et lectures et écritures hors limites pourraient être exploités en
piégeant un utilisateur dans l'ouverture d'une pièce jointe malveillante.
Cela pourrait avoir conséquence un déni de service par plantage de
l'application, ou l'exécution potentielle de code arbitraire.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.4.9-1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tnef.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3798.data"
# $Id: dsa-3798.wml,v 1.1 2017/03/02 09:27:57 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le lecteur de PDF 
MuPDF qui peuvent avoir pour conséquence un déni de service ou l'exécution
de code arbitraire lors de l'ouverture d'un fichier PDF malveillant.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.5-1+deb8u2.</p>

<p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.9a+ds1-4.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9a+ds1-4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mupdf.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3797.data"
# $Id: dsa-3797.wml,v 1.1 2017/03/02 09:27:57 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le serveur HTTP
Apache2.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0736";>CVE-2016-0736</a>

<p>RedTeam Pentesting GmbH a découvert que mod_session_crypto était
vulnérable à une attaque d'oracle par remplissage qui pourraient permettre à 
un attaquant de deviner le cookie de session.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2161";>CVE-2016-2161</a>

<p>Maksim Malyutin a découvert que des entrées malveillantes pour
mod_auth_digest pourraient faire planter le serveur, provoquant un déni de
service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8743";>CVE-2016-8743</a>

<p>David Dennerline, des X-Force Researchers de sécurité d'IBM, et Régis
Leroy ont découvert des problèmes dans la manière dont Apache gérait un
motif large de motifs d'espaces inhabituels dans des requêtes HTTP. Dans
certaines configurations, cela pourrait conduire à des vulnérabilités de
découpage de réponse ou de pollution de cache. Pour corriger ces problèmes,
cette mise à jour rend Apache httpd plus strict dans le choix des requêtes
HTTP qu'il accepte.</p>

<p>Si cela provoque des problèmes avec des clients non-conformes, certaines
vérifications peuvent être assouplies en ajoutant la nouvelle directive
<q>HttpProtocolOptions unsafe</q> Ã  la configuration.</p>

<p>Cette mise à jour corrige aussi le problème de la non-activation par
défaut de mod_reqtimeout dans les nouvelles installations.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.4.10-10+deb8u8.</p>

<p>Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.4.25-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3796.data"
# $Id: dsa-3796.wml,v 1.1 2017/03/02 09:27:57 jipege1-guest Exp $