[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2016/dla-51{0,1,2,3,4,5,6,7,8,9}.wml

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-51x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege


#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans Icedove,la
version de Debian du client de messagerie Mozilla Thunderbird : plusieurs
erreurs de sécurité de la mémoire pourraient conduire à l'exécution de code
arbitraire ou à un déni de service.</p>

<p>Debian suit les éditions longue durée (« extended support releases »
– ESR) de Thunderbird. Le suivi des séries 38.x est terminé, aussi, à
partir de cette mise à jour, Debian suit les versions 45.x.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 45.1.0-1~deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets icedove.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-519.data"
# $Id: $

#use wml::debian::translation-check translation=1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Pour préparer le passage à venir à Icedove 45, le paquet
mozilla-devscripts a été mis à jour pour générer des dépendances correctes
pour reconstruire les extensions.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.32+deb7u1.</p>

<p>Dans le cas où vous construisez des extensions de mozilla, nous vous
recommandons de mettre à niveau les paquets mozilla-devscripts.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-518.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le code ne vérifiait pas qu'il n'y avait pas de dépassement d'entier
avant d'essayer de redimensionner un tampon. Un fichier contrefait pour
l'occasion pourrait avoir pour conséquence l'utilisation de mémoire au-delà
de la fin du tampon alloué.</p>

<p>Le CVE de sécurité pour ce problème (<a href="https://security-tracker.debian.org/tracker/CVE-2016-4563";>CVE-2016-4563</a>) de même que les
<a href="https://security-tracker.debian.org/tracker/CVE-2016-4562";>CVE-2016-4562</a> et
<a href="https://security-tracker.debian.org/tracker/CVE-2016-4564";>CVE-2016-4564</a>
étaient basé sur une annonce de sécurité qui ne sera pas rendue public. Ce
correctif de sécurité a été généré en se basant uniquement sur les
informations superficielles de modification de code qui sont publiques dans
GitHub. Pour davantage d'information sur cela, consultez :
<a href="http://seclists.org/oss-sec/2016/q2/476";>http://seclists.org/oss-sec/2016/q2/476</a></p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 8:6.7.7.10-5+deb7u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-517.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour corrige les CVE décrits ci-dessous.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0821";>CVE-2016-0821</a>

<p>Solar Designer a remarqué que la fonctionnalité de liste
<q>poisoning</q>, destinée à réduire les effets des bogues dans la
manipulation de liste dans le noyau, utilisait des valeurs de poison dans
la plage d'adresses virtuelles qui peuvent être allouées par les processus
de l'utilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1583";>CVE-2016-1583</a>

<p>Jann Horn de Google Project Zero a signalé que le système de fichiers
eCryptfs pourrait être utilisé avec le système de fichiers proc pour
provoquer un dépassement de pile du noyau. Si le paquet ecryptfs-utils est
installé, des utilisateurs locaux pourraient exploiter cela, grâce au
programme mount.ecryptfs_private, pour provoquer un déni de service
(plantage) ou éventuellement une élévation de privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2184";>CVE-2016-2184</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2185";>CVE-2016-2185</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2186";>CVE-2016-2186</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2187";>CVE-2016-2187</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3136";>CVE-2016-3136</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3137";>CVE-2016-3137</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3138";>CVE-2016-3138</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3140";>CVE-2016-3140</a>

<p>Ralf Spenneberg de OpenSource Security a signalé que plusieurs pilotes
USB ne vérifiaient pas correctement les descripteurs USB. Cela permettait à
un utilisateur physiquement présent avec un périphérique USB conçu pour
l'occasion de provoquer un déni de service (plantage). Tous les pilotes
n'ont pas encore été corrigés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3134";>CVE-2016-3134</a>

<p>L'équipe Google Project Zero a découvert que le sous-système netfilter
ne vérifiait pas correctement les entrées de la table filter. Un
utilisateur doté de la capacité CAP_NET_ADMIN pourrait utiliser cela pour
un déni de service (plantage) ou éventuellement une élévation de
privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3157";>CVE-2016-3157</a> / XSA-171

<p>Andy Lutomirski a découvert que l'implémentation du changement de tâches
x86_64 (amd64) n'actualisait pas correctement le niveau de droit des
entrées sorties lors d'une exécution comme client Xen paravirtuel (PV).
Avec certaines configurations cela pourrait permettre à des utilisateurs
locaux de provoquer un déni de service (plantage) ou une élévation de
privilèges dans le client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3672";>CVE-2016-3672</a>

<p>Hector Marco et Ismael Ripoll ont noté qu'il était possible de
désactiver l'ASLR (<q>Address Space Layout Randomisation</q>) pour les
programmes x86_32 (i386) en supprimant la limite de ressource de la pile.
Cela facilite l'exploitation par des utilisateurs locaux de défauts de
sécurité dans les programmes réglés avec les drapeaux setuid ou setgid.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3951";>CVE-2016-3951</a>

<p>Le pilote cdc_ncm libérait prématurément la mémoire si certaines erreurs
survenaient durant son initialisation. Cela permettait à un utilisateur
physiquement présent avec un périphérique USB conçu pour l'occasion de
provoquer un déni de service (plantage) ou éventuellement pour une
élévation de privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3955";>CVE-2016-3955</a>

<p>Ignat Korchagin a signalé que le sous-système usbip ne vérifiait pas la
longueur des données reçues pour un tampon USB. Cela permettait un déni de
service (plantage) ou une augmentation de droits sur un système configuré
en client usbip, de la part du serveur usbip ou d'un attaquant capable
d'usurper son identité sur le réseau. Un système configuré en serveur usbip
pourrait être de la même manière vulnérable à des utilisateurs physiquement
présents.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3961";>CVE-2016-3961</a> / XSA-174

<p>Vitaly Kuznetsov de Red Hat a découvert que Linux permettait
l'utilisation de hugetlbfs sur les systèmes x86 (i386 et amd64) même
exécutés comme client Xen paravirtuel (PV), bien que Xen ne prend pas en
charge les très grandes pages. Cela permettait à des utilisateurs dotés
d'un accès à /dev/hugepages de provoquer un déni de service (plantage) dans
le client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4482";>CVE-2016-4482</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-4485";>CVE-2016-4485</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-4486";>CVE-2016-4486</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-4569";>CVE-2016-4569</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-4578";>CVE-2016-4578</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-4580";>CVE-2016-4580</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-5243";>CVE-2016-5243</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-5244";>CVE-2016-5244</a>

<p>Kangjie Lu a signalé que les fonctions devio, llc, rtnetlink, ALSA
timer, x25, tipc et rds d'USB divulguaient des informations de la pile du
noyau.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4565";>CVE-2016-4565</a>

<p>Jann Horn de Google Project Zero a signalé que plusieurs composants de
la pile InfiniBand implémentaient des sémantiques inhabituelles pour
l'opération write(). Sur un système où les pilotes InfiniBand sont chargés,
des utilisateurs locaux pourraient utiliser cela pour provoquer un déni de
service ou une élévation de privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4913";>CVE-2016-4913</a>

<p>Al Viro a découvert que l'implémentation du système de fichiers ISO9660
ne mesurait pas correctement la longueur de certaines entrées de nom
incorrectes. La lecture d'un répertoire contenant de telles entrées de nom
pourrait divulguer des informations de la mémoire du noyau. Des
utilisateurs autorisés à monter des disques ou des images disque pourraient
utiliser cela pour obtenir des informations sensibles de la mémoire du
noyau.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.2.81-1.</p>

<p>Cette mise à jour corrige aussi le bogue nº 627782, qui provoquait une
corruption de données dans certaines applications exécutées sur un système
de fichiers aufs, et comprend beaucoup d'autres correctifs de bogue à
partir des mises à jour stables amont 3.2.79, 3.2.80 et 3.2.81.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes seront bientôt corrigés.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-516.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait un problème de corruption de mémoire dans libav (un lecteur,
serveur, encodeur et transcodeur multimédia) lors de l'analyse de fichiers
.mp4 qui pourrait conduire à un plantage ou éventuellement l'exécution de
code arbitraire.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 6:0.8.17-2+deb7u2 de libav.
.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libav.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-515.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans libxslt.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7995";>CVE-2015-7995</a>

<p>L'absence de vérification de type pourrait provoquer le plantage de
l'application à l'aide d'un fichier contrefait pour l'occasion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1683";>CVE-2016-1683</a>

<p>Un bogue d'accès au tas hors limites a été découvert dans libxslt.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1684";>CVE-2016-1684</a>

<p>Il y a un bogue de dépassement d'entier dans libxslt qui pourrait
conduire à un plantage de l'application.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.26-14.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxslt.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-514.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait un dépassement de tampon dans un utilitaire sprintf dans
nspr, la bibliothèque d'exécution portable de NetScape.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2:4.9.2-1+deb7u4 de nspr.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nspr.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-513.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité de script intersite (XSS) dans la gestion
de champ personnalisé dans mantis, un système de suivi de bogues sur le
web.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.2.18-1+deb7u1 de mantis.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mantis.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-512.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une réponse HTTP contrefaite pour l'occasion provenant d'un traqueur (ou
éventuellement d'une diffusion UPnP) peut faire planter libtorrent dans la
fonction parse_chunk_header(). Bien que cette fonction n'est pas présente
dans cette version, des vérifications complémentaires d'intégrité de
l'amont ont été ajoutées pour interrompre le programme si nécessaire plutôt
que de le faire planter.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.15.10-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libtorrent-rasterbar.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-511.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Marcin <q>Icewall</q> Noga de Cisco Talos a découvert une vulnérabilité
de lecture hors limites dans la méthode CInArchive::ReadFileItem dans la
méthode CInArchive::ReadFileItem de p7zip, un archiveur de fichiers 7zr à
haut taux de compression. Un attaquant distant peut tirer avantage de ce
défaut pour provoquer un déni de service ou, éventuellement, l'exécution de
code arbitraire avec les droits de l'utilisateur exécutant p7zip, lors du
traitement d'un fichier UDF contrefait pour l'occasion.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 9.20.1~dfsg.1-4+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets p7zip.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-510.data"
# $Id: $
Reply to: