[RFR] wml://security/2014/dla-2{0,3,4,5,6,7,8,9}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

Voici quelques traductions de dla adaptées de :
DLA	DSA
23	2994

Merci d'avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1.4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>[Christoph Biedl]</p>
<ul>
<li>Munin-node : traitement de fichier dâ??état plus sécurisé, introduisant un
nouveau superutilisateur de répertoire dâ??état de nouveaux greffons, avec
lâ??UID 0. Alors, chaque greffon est exécuté dans son propre répertoire dâ??état
avec un propre UID. (fermeture des bogues n° 684075, n° 679897), correction de
<a href="https://security-tracker.debian.org/tracker/CVE-2012-3512";>CVE-2012-3512</a>.
</li>
<li>Greffons : utilisation de $ENV{MUNIN_PLUGSTATE}. Ainsi, tous les greffons
proprement écrits utiliseront /var/lib/munin-node/plugin-state/$uid/$un_fichier
dorénavant. Merci de signaler les greffons utilisant encore
/var/lib/munin/plugin-state/ car ils peuvent comporter un risque pour la
sécurité !
</li>
<li>Ne pas interrompre la collecte des données pour un nÅ?ud à  cause dâ??un nÅ?ud
malveillant. Correction pour les bogues n° 1397 de munin et de
<a href="https://security-tracker.debian.org/tracker/CVE-2013-6048";>CVE-2013-6048</a>.
</li>
<li>Validation du nom de greffon <q>multigraph</q>,
<a href="https://security-tracker.debian.org/tracker/CVE-2013-6359";>CVE-2013-6359</a>.
</li>
</ul>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 1.4.5-3+deb6u1 de munin.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-20.data"
# $Id: dla-20.wml,v 1.4 2016/05/20 21:03:53 djpig Exp $

#use wml::debian::translation-check translation="1.4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1741";>CVE-2013-1741</a>

<p>Un emballement de memset dans l'analyse de certificats sur les machines
64 bits mène à un plantage en tentant d'écrire 4 Go de caractères nuls.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-5606";>CVE-2013-5606</a>

<p>Une validation de certificat avec mode vérification de journal ne retourne
pas les erreurs de validation, mais attend plutôt que les applications
déterminent l'état en regardant dans le journal.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1491";>CVE-2014-1491</a>

<p>Contournement des mécanismes de protection de traitement de ticket à cause
de l'absence de limitation des valeurs publiques dans les échanges de clés
Diffie-Hellman.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1492";>CVE-2014-1492</a>

<p>Une correspondance incorrecte des noms de domaine IDNA pour les certificats
multiples pourrait permettre à des certificats invalides, contrefaits pour
l'occasion, d'être considérés comme valables.</p></li>

</ul>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 3.12.8-1+squeeze8 de nss.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-23.data"
# $Id: dla-23.wml,v 1.4 2016/04/08 20:32:21 djpig Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Poppler renvoyait lâ??exécution du programme vers la bibliothèque libjpeg avec
des conditions dâ??erreur, non prévues par la bibliothèque, et conduisait
éventuellement à  lâ??exécution de code.</p>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 0.12.4-1.2+squeeze4 de poppler.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-24.data"
# $Id: dla-24.wml,v 1.2 2016/04/08 20:32:21 djpig Exp $

#use wml::debian::translation-check translation="1.4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une régression a été identifiée dans la mise à jour DLA-25-1 pour python2.6,
qui pourraient causer lâ??interruption des applications, si elles sont en cours
dâ??exécution durant la mise à  niveau et si elles nâ??ont pas déjà  importé le module
<q>os</q> mais le font après la mise à niveau. Cette mise à jour corrige le
scénario de la mise à niveau.</p>

<p>Pour indication, voici le texte de lâ??annonce originale.</p>

<p>Plusieurs vulnérabilités ont été découvertes dans python2.6. Les plus
importantes sont les suivantes.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4238";>CVE-2013-4238</a>

<p>Un traitement incorrect de caractères NULL dans les noms d'hôte de certificat
pourrait permettre dâ??usurper un serveur à  lâ??aide des certificats contrefaits
pour l'occasion signés pas des autorités de certification de confiance.</p>
</li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1912";>CVE-2014-1912</a>

<p>Un débordement de tampon dans socket.recvfrom_into conduit au plantage de
l'application et éventuellement à  lâ??exécution de code.</p></li>

</ul>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 2.6.6-8+deb6u2 de python2.6.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-25.data"
# $Id: dla-25.wml,v 1.4 2016/05/20 20:46:09 djpig Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Python-scipy ne gérait pas correctement les répertoires temporaires,
permettant éventuellement l'exécution de code arbitraire.</p>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 0.7.2+dfsg1-1+deb6u1 de python-scipy.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-26.data"
# $Id: dla-26.wml,v 1.2 2016/04/08 20:32:21 djpig Exp $

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Correction de diverses attaques par déni de service :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3487";>CVE-2014-3487</a>

<p>La fonction cdf_read_property_info ne valide pas correctement un emplacement
de flux. Cela permet à des attaquants distants de provoquer un déni de service
(plantage de l'application) Ã  l'aide d'un fichier CDF contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3480";>CVE-2014-3480</a>

<p>La fonction cdf_count_chain dans cdf.c ne valide pas correctement des
données <q>sector-count</q>. Cela permet à des attaquants distants de provoquer
un déni de service (plantage de l'application) à l'aide d'un fichier CDF contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3479";>CVE-2014-3479</a>

<p>La fonction cdf_check_stream_offset dans cdf.c dépend de données
<q>sector-count</q> incorrectes. Cela permet à des attaquants distants de
provoquer un déni de service (plantage de l'application) à l'aide d'un
emplacement de flux contrefait dans un fichier CDF.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3478";>CVE-2014-3478</a>

<p>Un débordement de tampon dans la fonction mconvert dans softmagic.c permet
à des attaquants distants de provoquer un déni de service (plantage de
l'application) à l'aide d'une chaîne Pascal contrefaite dans une conversion de
FILE_PSTRING.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0238";>CVE-2014-0238</a>

<p>La fonction cdf_read_property_info dans cdf.c permet à des attaquants
distants de provoquer un déni de service (boucle infinie ou accès mémoire hors
limites) Ã  l'aide d'un vecteur qui est de longueur nulle ou trop long).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0237";>CVE-2014-0237</a>

<p>La fonction cdf_unpack_summary_info dans cdf.c permet à des attaquants
distants de provoquer un déni de service (dégradation de performances) en
déclenchant de nombreux appels file_printf.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0207";>CVE-2014-0207</a>

<p>La fonction cdf_read_short_sector dans cdf.c permet à des attaquants
distants de provoquer un déni de service (erreur dâ??assertion et sortie
dâ??application) Ã  l'aide d'un fichier CDF contrefait.</p></li>

</ul>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 5.04-5+squeeze6 de file.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-27.data"
# $Id: dla-27.wml,v 1.3 2016/04/08 20:32:21 djpig Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs situations de compétition ont été découvertes dans augeas, lors de
lâ??enregistrement de fichiers de configuration, qui exposent à  des attaques par
lien symbolique. Le droit dâ??écriture dans le répertoire du fichier de
configuration est nécessaire pour lâ??attaquant.</p>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 0.7.2-1+deb6u1 de augeas.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-28.data"
# $Id: dla-28.wml,v 1.2 2016/04/08 20:32:21 djpig Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le paquet puppet ne restreint pas suffisamment les permissions et les
propriétaires du répertoire /var/log/puppet. Cela peut exposer des fichiers
sensibles.</p>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 2.6.2-5+squeeze10 de puppet.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-29.data"
# $Id: dla-29.wml,v 1.2 2016/04/08 20:32:21 djpig Exp $