[RFR] wml://security/2017/dsa-405{1,2,3}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
trois nouvelles annonces de sécurité viennent d'être publiées (les deux
dernières sont presque identiques). En voici une traduction. Merci
d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Exim, un agent de
transport de courrier électronique. Le projet « Common Vulnerabilities and
Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16943";>CVE-2017-16943</a>

<p>Une vulnérabilité d'utilisation de mémoire après libération a été
découverte dans les routines d'Exim responsables de l'analyse des en-têtes
de courrier électronique. Un attaquant distant peut tirer avantage de ce
défaut pour provoquer le plantage d'Exim, avec pour conséquence un déni de
service, ou éventuellement pour l'exécution de code distant.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-16944";>CVE-2017-16944</a>

<p>Exim ne gère pas correctement les en-têtes de données BDAT permettant à 
un attaquant distant de provoquer le plantage d'Exim, avec pour conséquence
un déni de service.</p></li>

</ul>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 4.89-2+deb9u2. Les installations par défaut désactivent
l'avertissement de l'extension ESMTP CHUNKING et ne sont pas affectées par
ces problèmes.</p>

<p>Nous vous recommandons de mettre à jour vos paquets exim4.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de exim4, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/exim4";>https://security-tracker.debian.org/tracker/exim4</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-4053.data"
# $Id: dsa-4053.wml,v 1.1 2017/11/30 08:41:57 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Adam Collard a découvert que Bazaar, un système de gestion de versions
décentralisé facile à utiliser, ne gérait pas correctement des URL bzr+ssh
construites de façon malveillante, permettant à des attaquants distants
d'exécuter une commande arbitraire de l'interpréteur.</p>

<p>Pour la distribution oldstable (Jessie), ce problème a été corrigé dans
la version 2.6.0+bzr6595-6+deb8u1.</p>

<p>Pour la distribution stable (Stretch), ce problème a été corrigé dans la
version 2.7.0+bzr6619-7+deb9u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bzr.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de bzr, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/bzr";>https://security-tracker.debian.org/tracker/bzr</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-4052.data"
# $Id: dsa-4052.wml,v 1.1 2017/11/30 08:18:27 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans cURL, une bibliothèque de
transfert par URL.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8816";>CVE-2017-8816</a>

<p>Alex Nichols a découvert un défaut de débordement de tampon dans le code
d'authentification NTLM qui peut être déclenché sur les systèmes 32 bits où
un dépassement d'entier pourrait se produire lors du calcul de la taille
d'une allocation de mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-8817";>CVE-2017-8817</a>

<p>Des tests aléatoires du projet OSS-Fuzz menaient à la découverte d'un
défaut de lecture hors limites dans la fonction joker de FTP dans libcurl.
Un serveur malveillant pourrait rediriger un client basé sur libcurl sur
une URL utilisant un motif joker, déclenchant la lecture hors limites.</p></li>

</ul>

<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 7.38.0-4+deb8u8.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 7.52.1-5+deb9u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de curl, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/curl";>\
https://security-tracker.debian.org/tracker/curl</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-4051.data"
# $Id: dsa-4051.wml,v 1.1 2017/11/30 08:18:27 jipege1-guest Exp $