[RFR2] wml://lts/security/2016/dla-48{5,6,7,8,9}.wml

To: debian-l10n-french@lists.debian.org
Subject: [RFR2] wml://lts/security/2016/dla-48{5,6,7,8,9}.wml
From: Jean-Pierre Giraud <jenapierregiraud75@free.fr>
Date: Fri, 27 Dec 2019 01:01:42 +0100
Message-id: <[🔎] 1f1cb2a1-902c-e0bb-2b98-d4f4afa52f9a@free.fr>
In-reply-to: <[🔎] 20191226192739.0fbb9aad@debian>
References: <[🔎] be2a4e49-c201-46a3-4986-62c5be6b98f4@free.fr> <[🔎] 20191226192739.0fbb9aad@debian>

Bonjour,
Le 26/12/2019 à 19:27, JP Guillonneau a écrit :
> Bonjour,
>
> pinaillons, pinaillons !
>
> Amicalement.
>
> --
> Jean-Paul
Et c'est corrigé ! De nouvelles relectures ?
Amicalement,
jipege

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour de sécurité corrige un problème de sécurité dans
ruby-mail. Nous vous recommandons de mettre à niveau le paquet ruby-mail.</p>

<p>Takeshi Terada (Mitsui Bussan Secure Directions, Inc.) a publié un livre
blanc intitulé <q>SMTP Injection via recipient email addresses</q>
(<a href="http://www.mbsd.jp/Whitepaper/smtpi.pdf";>http://www.mbsd.jp/Whitepaper/smtpi.pdf</a>).
Ce livre blanc comporte une partie traitant de la manière dont une
vulnérabilité de ce type affectait le gem Ruby <q>mail</q>
(voir section 3.1).</p>

<p>Le livre blanc contient tous les détails spécifiques, mais
essentiellement le module du gem Ruby <q>mail</q> est prédisposé à une
attaque de destinataire dans la mesure où il ne valide ni ne vérifie pas
les adresses de destinataire données. Donc, les attaques décrites dans le
chapitre 2 du livre blanc peuvent s'appliquer au gem sans aucune
modification. Le gem Ruby <q>mail</q> lui-même n'impose pas de longueur
limite aux adresses de courriel, ainsi un attaquant peut envoyer un long
message de pourriel à l'aide d'une adresse de destinataire à moins qu'il
n'y ait une limite côté application. Cette vulnérabilité n'affecte que les
applications qui n'ont pas de validation des entrées.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.4.4-2+deb7u1.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-489.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Markus Krell a découvert que xymon (anciennement connu sous le nom de
Hobbit), un système de surveillance de réseaux et d'applications, était
vulnérable aux problèmes de sécurité suivants :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2054";>CVE-2016-2054</a>

<p>Le traitement incorrect des entrées fournies par l'utilisateur dans la
commande <q>config</q> peut déclencher un dépassement de pile, menant à un
déni de service (au moyen du plantage de l'application) ou à l'exécution de
code distant.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2055";>CVE-2016-2055</a>

<p>Le traitement incorrect des entrées fournies par l'utilisateur dans la
commande <q>config</q> peut conduire à une fuite d'informations en servant
des fichiers de configuration sensibles à un utilisateur distant.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2056";>CVE-2016-2056</a>

<p>Les commandes traitant la gestion des mots de passe ne valident pas
correctement les entrées fournies par l'utilisateur et sont ainsi
vulnérables à l'injection de commande shell par un utilisateur distant.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2058";>CVE-2016-2058</a>

<p>L'échappement incorrect des entrées fournies par l'utilisateur dans les
pages web d'état peut être utilisé pour déclencher des attaques
réfléchies par script intersite.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.3.0~beta2.dfsg-9.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xymon.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-488.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>L'équipe du suivi à long terme (LTS) de Debian ne peut pas continuer à
prendre en charge divers paquets dans le cycle de vie prolongé de
Wheezy LTS. Le paquet debian-security-support fournit l'outil
check-support-status qui aide à alerter les administrateurs des paquets
installés dont le suivi de sécurité est limité ou doit prendre fin
prématurément.</p>

<p>La version 2016.05.24~deb7u1 de debian-security-support met à jour la
liste des paquets bénéficiant d'une prise en charge restreinte dans
Wheezy LTS, ajoutant les paquets suivants :</p>

<table>
<tr><th>Paquet source</th><th>Dernière version prise en charge</th><th>Date de fin de vie</th><th>Informations complémentaires</th></tr>
<tr><td>libv8</td><td>3.8.9.20-2</td><td>6 février 2016</td><td><a href="https://lists.debian.org/debian-lts/2015/08/msg00035.html";>https://lists.debian.org/debian-lts/2015/08/msg00035.html</a></td></tr>
<tr><td>mediawiki</td><td>1:1.19.20+dfsg-0+deb7u3</td><td>26 avril 2016</td><td><a href="https://www.debian.org/releases/jessie/amd64/release-notes/ch-information.html#mediawiki-security";>https://www.debian.org/releases/jessie/amd64/release-notes/ch-information.html#mediawiki-security</a></td></tr>
<tr><td>sogo</td><td>1.3.16-1</td><td>19 mai 2016</td><td><a href="https://lists.debian.org/debian-lts/2016/05/msg00197.html";>https://lists.debian.org/debian-lts/2016/05/msg00197.html</a></td></tr>
<tr><td>vlc</td><td>2.0.3-5+deb7u2</td><td>6 février 2016</td><td><a href="https://lists.debian.org/debian-lts/2015/11/msg00049.html";>https://lists.debian.org/debian-lts/2015/11/msg00049.html</a></td></tr>
</table>

<p>Si vous dépendez de ces paquets sur un système exécutant Debian 7
<q>Wheezy</q>, nous vous recommandons de mettre à niveau vers Debian 8
<q>Jessie</q>, la distribution stable actuelle. Notez néanmoins que la
prise en charge de mediawiki est aussi terminée dans Jessie.</p>

<p>Nous vous recommandons d'installer le paquet debian-security-support
pour vérifier l'état de prise en charge des paquets installés sur le
système.</p>

<p>Plus d’informations sur Debian LTS peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2016.05.24~deb7u1 de debian-security-support </p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-487.data"
# $Id: $

Reply to:

References:
- [RFR] wml://lts/security/2016/dla-48{5,6,7,8,9}.wml
  - From: Jean-Pierre Giraud <jenapierregiraud75@free.fr>
- Re: [RFR] wml://lts/security/2016/dla-48{5,6,7,8,9}.wml
  - From: JP Guillonneau <guillonneau.jeanpaul@free.fr>

Prev by Date: Re: [RFR] wml://lts/security/2016/dla-48{5,6,7,8,9}.wml
Next by Date: [RFR] wml://lts/security/2016/dla-49{0,2,3,4,5}.wml
Previous by thread: Re: [RFR] wml://lts/security/2016/dla-48{5,6,7,8,9}.wml
Next by thread: [RFR] wml://lts/security/2016/dla-49{0,2,3,4,5}.wml
Index(es):
- Date
- Thread