[RFR] wml://lts/security/2016/dla-47{0,1,2,3,4,5,6,7,8}.wml

To: debian-l10n-french@lists.debian.org
Subject: [RFR] wml://lts/security/2016/dla-47{0,1,2,3,4,5,6,7,8}.wml
From: Jean-Pierre Giraud <jenapierregiraud75@free.fr>
Date: Mon, 23 Dec 2019 00:08:22 +0100
Message-id: <[🔎] d9650f2f-818a-bc73-b312-c035b4e382e4@free.fr>

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-47xx.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le serveur
mandataire cache Squid.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4051";>CVE-2016-4051</a>

<p>CESG et Yuriy M. Kaminskiy ont découvert que cachemgr.cgi de Squid était
vulnérable à un dépassement de tampon lors du traitement d'entrées fournies
à distance relayées par Squid.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4052";>CVE-2016-4052</a>


<p>CESG a découvert qu'un dépassement de tampon rendait Squid vulnérable à
une attaque par déni de service (DoS) lors du traitement de réponses ESI.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4053";>CVE-2016-4053</a>

<p>CESG a découvert que Squid était vulnérable à une divulgation publique
d'informations sur la disposition de la pile du serveur lors du traitement
de réponses ESI.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4054";>CVE-2016-4054</a>

<p>CESG a découvert que Squid était vulnérable à une exécution de code à
distance lors du traitement de réponses ESI.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4554";>CVE-2016-4554</a>

<p>Jianjun Chen a découvert que Squid était vulnérable à une attaque par
dissimulation d'en-tête qui pourrait conduire à un empoisonnement de cache
et au contournement de la politique de sécurité de même origine dans Squid
et certains navigateurs client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4555";>CVE-2016-4555</a>

<p>et <a href="https://security-tracker.debian.org/tracker/CVE-2016-4556";>CVE-2016-4556</a></p>

<p>« bfek-18 » et « @vftable » ont découvert que Squid était vulnérable à
une attaque par déni de service (DoS) attaque lors du traitement de
réponses ESI, à cause d'une manipulation incorrecte de pointeur et d'un
problème de comptage de référence.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, Ces problèmes ont été corrigés dans la
version 3.1.20-2.2+deb7u5 de squid3. Nous vous recommandons de mettre à
jour vos paquets squid3.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-478.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>(Note <a href="https://security-tracker.debian.org/tracker/CVE-2016-4347";>CVE-2016-4347</a> est un doublon de
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7558";>CVE-2015-7558</a>)</p>

<p>Deux dénis de service dans la manière dont librsvg 2.40.2 analyse les
fichiers SVG avec des définitions circulaires (produisant un épuisement de
pile) ont été découverts par Gustavo Grieco.</p>

<p>La version dans Wheezy (2.36.1-2+deb7u1) est aussi vulnérable.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.36.1-2+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets librsvg.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-477.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>libidn, la bibliothèque GNU pour les noms de domaines internationalisés
(Internationalized Domain Names — IDN), ne traitait pas correctement les
entrées UTF-8 incorrectes, avec comme conséquence une lecture hors limites.
Cela pourrait permettre à des attaquants de divulguer des informations
sensibles à partir d'une application utilisant la bibliothèque libidn.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.25-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libidn.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-476.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>python-tornado, un quadriciel web Python et une bibliothèque de réseau
asynchrone, était vulnérable à une attaque de type BREACH (« Browser
Reconnaissance and Exfiltration via Adaptive Compression of Hypertext »).
Le jeton XSRF est maintenant encodé avec un masque aléatoire sur chaque
requête. Cela rend en sûr l'inclusion dans des pages compressées sans qu'il
soit vulnérable.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.3-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-tornado.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-475.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité de mémoire non valable et de dépassement de
tas dosfstools, une collection d'utilitaires de création et de vérification
des systèmes de fichiers MS-DOS FAT.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 3.0.13-1+deb7u1 de dosfstools.</p>

<p>Nous vous recommandons de mettre à jour vos paquets dosfstools.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-474.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans la manière dont hostapd et
wpa_supplicant écrivent la mise à jour du fichier de configuration pour
les paramètres de la phrase secrète WPA ou WPA2. Si le paramètre a été mis
à jour pour inclure des caractères de contrôle soit par une opération WPS
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-4476";>CVE-2016-4476</a>) 
soit par une modification locale de configuration avec l'interface de
contrôle de wpa_supplicant
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-4477";>CVE-2016-4477</a>),
le fichier de configuration résultant peut empêcher le démarrage d'hostpad
et de wpa_supplicant quand le fichier mis à jour est utilisé. De plus pour
wpa_supplicant, il peut être possible de charger un fichier local de la
bibliothèque et d'exécuter le code à partir de là avec les mêmes privilèges
que ceux avec lesquels le processus wpa_supplicant est exécuté.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4476";>CVE-2016-4476</a>

<p>hostapd, version 0.6.7 à 2.5, et wpa_supplicant, versions 0.6.7 à 2.5,
ne rejettent par les caractères \n et \r dans les paramètres de la phrase
secrète. Cela permet à des attaquants distants de provoquer un déni de
service (indisponibilité du démon) à l'aide d'une opération WPS
contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4477";>CVE-2016-4477</a>

<p>wpa_supplicant, versions 0.4.0 à 2.5 ne rejette pas les caractères \n et
 \r dans les paramètres de la phrase secrète. Cela permet à des attaquants
locaux de déclencher le chargement d'une bibliothèque arbitraire et en
conséquence d'obtenir des privilèges ou provoquer un déni de service
(indisponibilité du démon) à l'aide d'une commande (1) SET, (2) SET_CRED,
ou (3) SET_NETWORK contrefaite.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.0-3+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wpa.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-473.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans Icedove, la
version de Debian du client de messagerie Mozilla Thunderbird : plusieurs
erreurs de sécurité de la mémoire pourraient conduire à l'exécution de code
arbitraire ou à un déni de service.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 38.8.0-1~deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets icedove.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-472.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Les applications qui dépendent de Jansson, une bibliothèque C pour
l'encodage, le décodage et la manipulation de données JSON, pourraient
planter par épuisement de pile lors de l'analyse d'un fichier JSON. Cela
était provoqué par l'absence de limite dans l'analyse de tableaux JSON et
c'est maintenant corrigé en limitant la profondeur à 2048.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2.3.1-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jansson.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-471.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité possible d'accès en lecture au-delà d'un
tampon dans libksba, une bibliothèque de prise en charge de certificats
X.509 et CMS.</p>

<p>La longueur de l'objet renvoyée à partir de _ksba_ber_parse_tl
(ti.length) n'était pas toujours vérifiée par rapport à la longueur réelle
du tampon, menant ainsi à un accès en lecture au-delà de la fin du tampon
et par conséquent à une violation de segment (SEGV).</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.2.0-2+deb7u2 de libksba.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libksba.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-470.data"
# $Id: $

Reply to:

Follow-Ups:
- Re: [RFR] wml://lts/security/2016/dla-47{0,1,2,3,4,5,6,7,8}.wml
  - From: JP Guillonneau <guillonneau.jeanpaul@free.fr>

Prev by Date: [RFR2] wml://lts/security/2016/dla-46{0,1,2,3,4,5,6,7,8,9}.wml
Next by Date: Revert asap
Previous by thread: [LCFC] wml://lts/security/2017/dla-115{0-9}.wml
Next by thread: Re: [RFR] wml://lts/security/2016/dla-47{0,1,2,3,4,5,6,7,8}.wml
Index(es):
- Date
- Thread