[RFR] wml://lts/security/2016/dla-48{5,6,7,8,9}.wml
Bonjour,
quelques anciennes annonces de sécurité de plus.
Les textes en anglais sont ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-48xx.wml
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour de sécurité corrige un problème de sécurité dans
ruby-mail. Nous vous recommandons de mettre à niveau le paquet ruby-mail.</p>
<p>Takeshi Terada (Mitsui Bussan Secure Directions, Inc.) a publié un livre
blanc intitulé <q>SMTP Injection via recipient email addresses</q>
(<a href="http://www.mbsd.jp/Whitepaper/smtpi.pdf";>http://www.mbsd.jp/Whitepaper/smtpi.pdf</a>).
Ce livre blanc comporte une partie traitant de la manière dont une
vulnérabilité de ce type affectait le gem Ruby <q>mail</q>
(voir section 3.1).</p>
<p>Le livre blanc contient tous les détails spécifiques, mais
essentiellement le module du gem Ruby <q>mail</q> est prédisposé à une
attaque de destinataire dans la mesure où il ne valide ni ne vérifie pas
les adresses de destinataire données. Donc, les attaques décrites dans le
chapitre 2 du livre blanc peuvent s'appliquer au gem dans aucune
modification. Le gem Ruby <q>mail</q> lui-même n'impose pas de longueur
limite aux adresses de courriel, ainsi un attaquant peut envoyer un long
message de spam à l'aide d'une adresse de destinataire à moins qu'il
n'y ait une limite côté application. Cette vulnérabilité n'affecte que les
applications qui n'ont pas de validation des entrées.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.4.4-2+deb7u1.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-489.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Markus Krell a découvert que xymon, (anciennement connu sous le nom de
Hobbit) un système de surveillance de réseaux et d'applications, était
vulnérable aux problèmes de sécurité suivants :</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2054";>CVE-2016-2054</a>
<p>Le traitement incorrect des entrées fournies par l'utilisateur dans la
commande <q>config</q> peut déclencher un dépassement de pile, menant à un
déni de service (au moyen du plantage de l'application) ou à l'exécution de
code distant.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2055";>CVE-2016-2055</a>
<p>Le traitement incorrect des entrées fournies par l'utilisateur dans la
commande <q>config</q> peut conduire à une fuite d'informations en servant
des fichiers de configuration sensibles à un utilisateur distant.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2056";>CVE-2016-2056</a>
<p>Les commandes traitant la gestion des mots de passe ne valident pas
correctement les entrées fournies par l'utilisateur et sont ainsi
vulnérables à l'injection de commande shell par un utilisateur distant.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2058";>CVE-2016-2058</a>
<p>L'échappement incorrect des entrées fournies par l'utilisateur dans les
pages web de statut peut être utilisé pour déclencher des attaques
réfléchies par script intersite.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.3.0~beta2.dfsg-9.1+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets xymon.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-488.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>L'équipe du suivi à long terme (LTS) de Debian ne peut pas continuer à
prendre en charge divers paquets dans le cycle de vie prolongé de
Wheezy LTS. Le paquet debian-security-support fournit l'outil
check-support-status qui aide à alerter les administrateurs des paquets
installés dont le suivi de sécurité est limité ou doit prendre fin
prématurément.</p>
<p>La version 2016.05.24~deb7u1 de debian-security-support met à jour la
liste des paquets bénéficiant d'une prise en charge restreinte dans
Wheezy LTS, ajoutant les paquets suivants :</p>
<table>
<tr><th>Paquet source</th><th>Dernière version prise en charge</th><th>Date de fin de vie</th><th>Informations complémentaires</th></tr>
<tr><td>libv8</td><td>3.8.9.20-2</td><td>6 février 2016</td><td><a href="https://lists.debian.org/debian-lts/2015/08/msg00035.html";>https://lists.debian.org/debian-lts/2015/08/msg00035.html</a></td></tr>
<tr><td>mediawiki</td><td>1:1.19.20+dfsg-0+deb7u3</td><td>26 avril 2016</td><td><a href="https://www.debian.org/releases/jessie/amd64/release-notes/ch-information.html#mediawiki-security";>https://www.debian.org/releases/jessie/amd64/release-notes/ch-information.html#mediawiki-security</a></td></tr>
<tr><td>sogo</td><td>1.3.16-1</td><td>19 mai 2016</td><td><a href="https://lists.debian.org/debian-lts/2016/05/msg00197.html";>https://lists.debian.org/debian-lts/2016/05/msg00197.html</a></td></tr>
<tr><td>vlc</td><td>2.0.3-5+deb7u2</td><td>6 février 2016</td><td><a href="https://lists.debian.org/debian-lts/2015/11/msg00049.html";>https://lists.debian.org/debian-lts/2015/11/msg00049.html</a></td></tr>
</table>
<p>Si vous dépendez de ces paquets sur un système exécutant Debian 7
<q>Wheezy</q>, nous vous recommandons de mettre à niveau vers Debian 8
<q>Jessie</q>, la distribution stable actuelle. Notez néanmoins que la
prise en charge de mediawiki est aussi terminé dans Jessie.</p>
<p>Nous vous recommandons d'installer le paquet debian-security-support
pour vérifier l'état de prise en charge des paquets installés sur le
système.</p>
<p>Plus d’informations sur Debian LTS peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2016.05.24~deb7u1 de debian-security-support </p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-487.data"
# $Id: $
#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Nikolay Ermishkin de l'équipe de sécurité de Mail.Ru et Stewie ont
découvert plusieurs vulnérabilités dans ImageMagick, un ensemble de
programmes pour manipuler des images. Ces vulnérabilités, connues
collectivement sous le nom de ImageTragick, sont la conséquence de l'absence
de vérification des entrées non fiables. Un attaquant doté du contrôle sur
l'image d'entrée pourrait, avec les droits de l'utilisateur se servant de
l'application, exécuter du code
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3714";>CVE-2016-3714</a>), faire des requêtes HTTP
GET ou FTP (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3718";>CVE-2016-3718</a>),
ou supprimer (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3715";>CVE-2016-3715</a>), déplacer
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3716";>CVE-2016-3716</a>), ou lire
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3717";>CVE-2016-3717</a>) des fichiers locaux.</p>
<p>Ces vulnérabilités sont particulièrement critiques si ImageMagick traite
des images venant de parties distantes, par exemple d'une partie d'un
service web.</p>
<p>La mise à jour désactive les codeurs vulnérables (EPHEMERAL, URL, MVG,
MSL et PLT) et les lectures indirectes par l'intermédiaire du fichier
/etc/ImageMagick-6/policy.xml. En complément, des préventions
supplémentaires sont introduites, y compris quelques vérifications pour les
noms de fichier d'entrée dans les délégués http/https, le retrait complet du
décodeur PLT/Gnuplot et la nécessité de référence explicite dans le nom de
fichier pour les codeurs non sûrs.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 8:6.7.7.10-5+deb7u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-486.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour de sécurité corrige un problème de sécurité dans
extplorer. Nous vous recommandons de mettre à niveau le paquet extplorer.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5660";>CVE-2015-5660</a>
<p>Une vulnérabilité de contrefaçon de requête intersite (CSRF) permet à
des attaquants distants de détourner l'authentification d'utilisateurs
arbitraires pour des requêtes qui exécutent du code PHP.</p></li>
</ul>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2.1.0b6+dfsg.3-4+deb7u3 d'extplorer</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-485.data"
# $Id: $
Reply to: