[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2016/dla-46{0,1,2,3,4,5,6,7,8,9}.wml

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-xxxxx.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege


#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>libgwenhywfar (une couche d'abstraction de système d'exploitation qui
permet le portage de logiciels sur différents systèmes d'exploitation tels
que Linux, *BSD, Windows, etc.) utilisait un groupe de certificats
d'autorité de certification (CA) obsolètes.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
libgwenhywfar version 4.3.3-1+deb7u1 en utilisant le paquet
ca-certificates.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libgwenhywfar.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-469.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités de sécurité ont été découvertes dans libuser, une
bibliothèque qui implémente une interface standardisée pour manipuler et
administrer les comptes d'utilisateurs et de groupes, qui pourraient
conduire à un déni de service ou à une élévation de privilèges par des
utilisateurs locaux.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3245";>CVE-2015-3245</a>

<p>Une vulnérabilité de liste noire incomplète dans la fonction chfn dans
libuser avant 0.56.13-8 et 0.60 avant 0.60-7, tel qu'utilisé dans le
programme userhelper dans le paquet usermode, permet à des utilisateurs
locaux de provoquer un déni de service (corruption de /etc/passwd) à l'aide
d'un caractère de changement de ligne dans le champ GECOS.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3246";>CVE-2015-3246</a>

<p>libuser avant 0.56.13-8 et 0.60 avant 0.60-7, tel qu'utilisé dans le
programme userhelper dans le paquet usermode, modifie directement
/etc/passwd. Cela permet à des utilisateurs locaux de provoquer un déni de
service (état de fichier inconsistant) en provoquant une erreur durant la
modification. ATTENTION : ce problème peut être combiné au
<a href="https://security-tracker.debian.org/tracker/CVE-2015-3245";>CVE-2015-3245</a>
pour obtenir des privilèges.</p></li>

</ul>

<p>En complément, le paquet usermode, qui dépend de libuser, a été
reconstruit avec la version mise à jour.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans</p>

<p>libuser 1:0.56.9.dfsg.1-1.2+deb7u1 et usermode  1.109-1+deb7u2</p>

<p>Nous vous recommandons de mettre à jour vos paquets libuser et usermode.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-468.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La classe XMLReader peut lever une exception si un caractère non valable
est rencontré et l'exception traverse les structures de piles d'une façon
non sécurisée qui fait accéder le traitement d'exception de plus haut
niveau à un objet déjà libéré.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 3.1.1-3+deb7u3 de xerces-c.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-467.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les versions 4.02.3 et antérieures d'OCaml ont un bogue d'exécution qui,
sur les plateformes 64 bits, fait que les arguments de taille pour un appel
memmove interne subissent une extension de signe de 32 à 64 bits avant
d'être passés à la fonction memmove. Cela conduit les arguments entre 2 GiB
et 4 GiB à être interprétés comme plus grands qu'ils ne sont
(particulièrement, un bit en dessous de 2^64), provoquant un dépassement de
tampon. Les arguments entre 4 GiB et 6 GiB sont interprétés comme 4 GiB
plus petits qu'ils ne devraient être, provoquant une possible fuite
d'informations.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 3.12.1-4+deb7u1 d'ocaml.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-466.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il n'est pas réalisable d'offrir un suivi de sécurité complet pour
certains paquets Debian tout au long du cycle de vie. Le paquet
debian-security-support fournit l'outil check-support-status qui aide à
alerter les administrateurs des paquets installés dont le suivi de
sécurité est limité ou doit prendre fin prématurément.</p>

<p>Pour Debian 7 <q>Wheezy</q>, la version 2016.05.09+nmu1~deb7u1 de
debian-security-support met à jour la liste des paquets bénéficiant d'une
prise en charge restreinte dans Wheezy LTS. En particulier, cette version
comprend aussi une nouvelle fonctionnalité pour notifier à l'utilisateur
les prochaines fins de vie.</p>

<p>Nous vous recommandons d'installer debian-security-support et d'exécuter
check-support-status pour vérifier le statut des paquets installés.
Veuillez consulter la page de manuel check-support-status (1) pour plus
d'information sur comment l'utiliser.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2016.05.09+nmu1~deb7u1 de debian-security-support.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-465.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité d'utilisation de mémoire après libération
dans libav, une bibliothèque de lecteur, serveur, encodeur et transcodeur 
multimédia.</p>

<p>La fonction seg_write_packet dans libavformat/segment.c dans ffmpeg
versions 2.1.4 et antérieures ne libère pas l'emplacement de mémoire
correct. Cela permet à des attaquants distants de provoquer un déni de
service (« invalid memory handler ») et éventuellement d'exécuter du code
arbitraire à l'aide d'une vidéo contrefaite qui déclenche une utilisation
de mémoire après libération.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 6:0.8.17-2+deb7u1 de libav.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libav.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-464.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Simon McVittie a découvert une vulnérabilité de script intersite dans
le signalement d'erreur d'Ikiwiki, un compilateur de wiki. Cette mise à
jour durcit également l'utilisation par ikiwiki d'imagemagick dans le
greffon img.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 3.20120629.2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ikiwiki.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-463.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Nitin Venkatesh a découvert que websvn, un outil pour visualiser les
répertoires Subversion sur le web, est vulnérable à des attaques par script
intersite au moyen de noms de fichiers et de répertoires contrefaits dans
les dépôts.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2.3.3-1.1+deb7u3 de websvn.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-462.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Un dépassement de tas dans la fonction cmd_submitf dans cgi/cmd.c de
Nagios, un système de surveillance et de gestion d'hôtes, services et
réseaux, permettait à des attaquants distants de provoquer un déni de
service (erreur de segmentation) à l'aide d'un long message à cmd.cgi.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 3.4.1-3+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nagios3.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-461.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Un fichier magique mal formé pourrait déclencher une erreur de
segmentation et donc le plantage des applications du fait d'un écrasement
de tampon dans la fonction file_check_mem.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 5.11-2+deb7u9.</p>

<p>Nous vous recommandons de mettre à jour vos paquets file.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-460.data"
# $Id: $
Reply to: