[RFR2] wml://lts/security/2016/dla-48{0,1,1-2,2,3,4}.wml

To: debian-l10n-french@lists.debian.org
Subject: [RFR2] wml://lts/security/2016/dla-48{0,1,1-2,2,3,4}.wml
From: Jean-Pierre Giraud <jenapierregiraud75@free.fr>
Date: Thu, 26 Dec 2019 18:34:24 +0100
Message-id: <[🔎] f60aef5b-8049-00d0-a273-e699edbb2691@free.fr>
In-reply-to: <[🔎] 20191226094026.62d39a09@debian>
References: <[🔎] 0f9cf073-ef98-221a-acf3-8def8e2f1254@free.fr> <[🔎] 20191226094026.62d39a09@debian>

Bonjour,
Le 26/12/2019 à 09:40, JP Guillonneau a écrit :
> Bonjour,
>
> suggestions.
>
> Amicalement.
>
> --
> Jean-Paul
Suggestions reprises.
Amicalement,
jipege

#use wml::debian::translation-check translation="04d941142caea6346972828d64c63b95b571b8f1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans
graphicsmagick un outil pour manipuler des fichiers d'image.</p>

<p>GraphicsMagick est un fourchage d'ImageMagick et il est aussi affecté
par les vulnérabilités connues collectivement sous le nom d'ImageTragick,
qui sont la conséquence de l'absence de vérification des entrées non
fiables. Un attaquant doté du contrôle sur l'image d'entrée pourrait, avec
les droits de l'utilisateur se servant de l'application, exécuter du code
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3714";>CVE-2016-3714</a>),
faire des requêtes HTTP GET ou FTP
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3718";>CVE-2016-3718</a>),
ou supprimer
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3715";>CVE-2016-3715</a>),
déplacer
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3716";>CVE-2016-3716</a>),
ou lire
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3717";>CVE-2016-3717</a>)
des fichiers locaux.</p>

<p>Pour traiter ces problèmes les modifications suivantes ont été faites :</p>

<ol>

<li>suppression de la détection ou l'exécution automatiques de MVG basées
sur l'en-tête ou l'extension du fichier ;</li>

<li>retrait de la possibilité de provoquer la suppression d'un fichier
d'entrée basée sur une spécification du nom de fichier ;</li>

<li>amélioration de la sûreté de delegates.mgk en retirant la prise en
charge de gnuplot, supprimant la prise en charge de page manuelle et en
ajoutant -dSAFER à toutes les invocations de ghostscript ;</li>

<li>vérification du nettoyage de l'argument nom de fichier premier de
l'image MVG pour s'assurer que les chaînes de préfixe « magick: » ne seront
pas interprétées. Veuillez noter que ce correctif cassera l'utilisation
intentionnelle de chaînes de préfixe magick dans MVG et ainsi certains
scripts MVG pourront échouer. Nous allons chercher une solution plus
flexible.</li>

</ol>

<p>En complément, les problèmes suivants ont été corrigés :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8808";>CVE-2015-8808</a>

<p>Assurance que le décodeur GIF n'utilise pas de données non initialisées
et ne provoque pas une lecture hors limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2317";>CVE-2016-2317</a> et
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2318";>CVE-2016-2318</a>

<p>Des vulnérabilités qui permettent de lire ou d'écrire en dehors des
limites de la mémoire (tas, pile) ainsi que certains déréférencements de
pointeur NULL qui provoquent un déni de service lors de l'analyse de
fichiers SVG.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.3.16-1.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-484.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité de consommation de pile dans la
bibliothèque graphique libgd2 qui permettait à des attaquants distants de
provoquer un déni de service à l'aide d'un appel imagefilltoborder
contrefait.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2.0.36~rc1~dfsg-6.1+deb7u3 de libgd2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libgd2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-482.data"
# $Id: $

Reply to:

References:
- [RFR] wml://lts/security/2016/dla-48{0,1,1-2,2,3,4}.wml
  - From: Jean-Pierre Giraud <jenapierregiraud75@free.fr>
- Re: [RFR] wml://lts/security/2016/dla-48{0,1,1-2,2,3,4}.wml
  - From: JP Guillonneau <guillonneau.jeanpaul@free.fr>

Prev by Date: [RFR] wml://lts/security/2016/dla-48{5,6,7,8,9}.wml
Next by Date: Re: [RFR] wml://lts/security/2016/dla-48{5,6,7,8,9}.wml
Previous by thread: Re: [RFR] wml://lts/security/2016/dla-48{0,1,1-2,2,3,4}.wml
Next by thread: [RFR] wml://lts/security/2017/dla-112{0-9}.wml
Index(es):
- Date
- Thread