[RFR] wml://lts/security/2016/dla-48{0,1,1-2,2,3,4}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-48xx.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="04d941142caea6346972828d64c63b95b571b8f1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans
graphicsmagick un outil pour manipuler des fichiers d'image.</p>

<p>GraphicsMagick est un fourchage d'ImageMagick et il est aussi affecté
par les vulnérabilités connues collectivement sous le nom d'ImageTragick,
qui sont la conséquence de l'absence de vérification des entrées non
fiables. Un attaquant doté du contrôle sur l'image d'entrée pourrait, avec
les droits de l'utilisateur se servant de l'application, exécuter du code
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3714";>CVE-2016-3714</a>),
faire des requêtes HTTP GET ou FTP
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3718";>CVE-2016-3718</a>),
ou supprimer
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3715";>CVE-2016-3715</a>),
déplacer
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3716";>CVE-2016-3716</a>),
ou lire
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3717";>CVE-2016-3717</a>)
des fichiers locaux.</p>

<p>Pour traiter ces problèmes les modifications ont été faites :</p>

<ol>

<li>suppression de la détection ou l'exécution automatiques de MVG basées
sur l'en-tête ou l'extension du fichier ;</li>

<li>retrait de la possibilité de provoquer la suppression d'un fichier
d'entrée basée sur une spécification du nom de fichier ;</li>

<li>amélioration de la sureté de delegates.mgk en retirant la prise en
charge de gnuplot, supprimant la prise en charge de page manuelle et en
ajoutant -dSAFER à toutes les invocations de ghostscript ;</li>

<li>vérification de la sécurité de l'argument nom de fichier premier de
l'image MVG pour s'assurer que les chaînes de préfixe « magick: » ne seront
pas interprétées. Veuillez noter que ce correctif cassera l'utilisation
intentionnelle de chaînes de préfixe magick dans MVG et ainsi certains
scripts MVG peuvent échouer. Nous allons chercher une solution plus
flexible.</li>

</ol>

<p>En complément, les problèmes suivants ont été corrigés :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8808";>CVE-2015-8808</a>

<p>Assurance que le décodeur GIF n'utilise pas de données non initialisées
et ne provoque pas une lecture hors limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2317";>CVE-2016-2317</a> et
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2318";>CVE-2016-2318</a>

<p>Des vulnérabilités qui permettent de lire ou d'écrire en dehors des
limites de la mémoire (tas, pile) ainsi que certains déréférencement de
pointeur NULL qui provoquent un déni de service lors de l'analyse de
fichiers SVG.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.3.16-1.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-484.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Gustavo Grieco a découvert que Expat, une bibliothèque C d'analyse XML,
ne gérait pas correctement certains types de documents d'entrée mal formés,
avec pour conséquence des dépassements de tampon durant le traitement et le
rapport d'erreurs. Un attaquant distant peut tirer avantage de ce défaut
pour provoquer le plantage d'une application utilisant la bibliothèque
Expat, ou éventuellement, pour exécuter du code arbitraire avec les
privilèges de l'utilisateur exécutant l'application.</p>


<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.1.0-1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets expat.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-483.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité de consommation de pile dans la
bibliothèque graphique libgd2qui permettait à des attaquants distants de
provoquer un déni de service à l'aide d'un appel imagefilltoborder
contrefait.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2.0.36~rc1~dfsg-6.1+deb7u3 de libgd2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libgd2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-482.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>L'envoi de sécurité précédent casse les pages de recherche dans
phpMyAdmin. Cela était causé par un correctif cassé appliqué pour corriger
le <a href="https://security-tracker.debian.org/tracker/CVE-2016-2040";>CVE-2016-2040</a>.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4:3.4.11.1-2+deb7u4.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-481-2.data"
# $Id: $

#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour de sécurité corrige un certain nombre de problèmes de
sécurité dans phpMyAdmin. Nous vous recommandons de mettre à niveau vos
paquets phpmyadmin.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1927";>CVE-2016-1927</a>

<p>La fonction suggestPassword génère des phrases secrètes faibles.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2038";>CVE-2016-2038</a>

<p>Divulgation d'informations au moyen de requêtes contrefaites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2039";>CVE-2016-2039</a>

<p>Valeur faible de jetons CSRF.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2040";>CVE-2016-2040</a>

<p>Vulnérabilités de script intersite (XSS) dans les utilisateurs
authentifiés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2041";>CVE-2016-2041</a>

<p>Brèche d'information dans la comparaison de jetons CSRF.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2045";>CVE-2016-2045</a>

<p>Injection de script intersite (XSS) au moyen de requêtes SQL
contrefaites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2560";>CVE-2016-2560</a>

<p>Injection de script intersite (XSS).</p></li>

</ul>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 4:3.4.11.1-2+deb7u3 de phpmyadmin </p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-481.data"
# $Id: $

#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour de sécurité corrige de sérieux problèmes de sécurité
dans NSS y compris des attaques d'exécution de code arbitraire et de déni 
de service distant.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.14.5-1+deb7u6. Nous vous recommandons de mettre à niveau vos
paquets nss paquets dès que possible.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7181";>CVE-2015-7181</a>

<p>La fonction sec_asn1d_parse_leaf ne restreint pas correctement l'accès à
une structure de données non précisée.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7182";>CVE-2015-7182</a>

<p>Un dépassement de tas dans le décodeur ASN.1.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1938";>CVE-2016-1938</a>

<p>La fonction s_mp_div dans lib/freebl/mpi/mpi.c ne divise pas
correctement les nombres, ce qui pourrait faciliter pour des attaquants
distants la casse des mécanismes de protection cryptographique.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1950";>CVE-2016-1950</a>

<p>Un dépassement de tas permet à des attaquants distants d'exécuter du
code arbitraire au moyen de données ASN.1 contrefaites dans un certificat
X.509.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1978";>CVE-2016-1978</a>

<p>Une vulnérabilité d'utilisation de mémoire après libération dans la
fonction ssl3_HandleECDHServerKeyExchange permet à des attaquants distants
de provoquer un déni de service ou d'avoir éventuellement un autre impact
non précisé en réalisant une initialisation de connexion SSL (1) DHE ou
(2) ECDHE à un moment de forte consommation de mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1979";>CVE-2016-1979</a>

<p>Une vulnérabilité d'utilisation de mémoire après libération dans la
fonction PK11_ImportDERPrivateKeyInfoAndReturnKey permet à des attaquants
distants de provoquer un déni de service ou d'avoir éventuellement un autre
impact non précisé au moyen de données de clé contrefaites avec un encodage
DER.</p></li>

</ul>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-480.data"
# $Id: $