[RFR] wml://lts/security/2016/dla-50{5,6,7,8,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-50x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La version de Samba 2:3.6.6-6+deb7u9, publiée pour corriger la
DSA-3548-1, introduisait diverses régressions provoquant l'échec des 
relations de confiance avec les domaines Win 7. Le correctif pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2115";>CVE-2016-2115</a>
a été annulé, donc les administrateurs devraient plutôt définir l'option
« client signing = required ».</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2:3.6.6-6+deb7u10. Davantage d'information est disponible dans le
fichier NEWS inclus dans cette version de samba.</p>

<p>Nous vous recommandons de mettre à jour vos paquets samba.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-509.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Deux problèmes liés ont été découverts dans Expat, un bibliothèque C
d'analyse XML.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6702";>CVE-2012-6702</a>

<p>Ce problème a été introduit lors de la correction du
<a href="https://security-tracker.debian.org/tracker/CVE-2012-0876";>CVE-2012-0876</a>.
Stefan Sørensen a découvert que l'utilisation de la fonction XML_Parse()
ensemençait le générateur de nombres aléatoires en générant des sorties
récurrentes pour les appels de rand().</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5300";>CVE-2016-5300</a>

<p>C'est le produit d'une solution incomplète pour le
<a href="https://security-tracker.debian.org/tracker/CVE-2012-0876";>CVE-2012-0876</a>.
L'analyseur ensemence mal le générateur de nombres aléatoires permettant à
un attaquant de provoquer un déni de service (consommation excessive du
CPU) à l'aide d'un fichier XML avec des identifiants contrefaits.</p></li>

</ul>

<p>Il pourrait être nécessaire de redémarrer manuellement les programmes et
les services utilisant les bibliothèques d'expat.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.1.0-1+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets expat.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-508.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans nss.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4000";>CVE-2015-4000</a>

<p>Avec les versions du protocole TLS 1.2 et antérieures, quand un ensemble
de chiffrement DHE_EXPORT est activé sur un serveur mais pas sur un client,
TLS ne transmet pas correctement un choix DHE_EXPORT. Cela permet à des
attaquants de type « homme du milieu » de conduire des attaques de
dégradation de chiffrement en réécrivant un « ClientHello » en remplaçant
DHE par DHE_EXPORT et ensuite en réécrivant un « ServerHello » avec
DHE_EXPORT remplacé par DHE, c'est-à-dire le problème appelé <q>Logjam</q>.</p>

<p>La solution dans nss était de ne pas accepter des largeurs inférieures
à 1024 bits. Cela peut éventuellement être un problème de
rétrocompatibilité mais ces faibles largeurs ne devraient pas être
utilisées, aussi la solution devrait être considérée comme acceptable.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2:3.14.5-1+deb7u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nss.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-507.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans dhcpcd5, un paquet de
client DHCP. Un attaquant distant (sur une réseau local) peut
éventuellement exécuter du code arbitraire ou provoquer une attaque par
déni de service à l'aide de messages contrefaits.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7912";>CVE-2014-7912</a>

<p>La fonction get_option ne valide pas la relation entre champs de
longueur et quantité de données. Cela permet à des serveurs DHCP distants
d'exécuter du code arbitraire ou de provoquer un déni de service
(corruption de mémoire) à l'aide d'une valeur de longueur importante d'une
option dans un message DHCPACK.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7913";>CVE-2014-7913</a>

<p>La fonction print_option interprète mal la valeur de retour de la
fonction snprintf. Cela permet à des serveurs DHCP distants d'exécuter du
code arbitraire ou de provoquer un déni de service (corruption de mémoire)
à l'aide d'un message contrefait.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 5.5.6-1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets dhcpcd5.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-506.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>PDFBox d'Apache n'initialise pas correctement l'analyseur XML. Cela
permet à des attaquants en fonction du contexte de conduire des attaques
d'entité externe XML (XXE) à l'aide d'un fichier PDF contrefait. Cela
pourrait conduire à la divulgation de données confidentielles, à un déni de
service, à une contrefaçon de requête côté serveur, à un balayage de port
du point de vue de machine où l'analyseur est installé et à d'autres
impacts sur le système.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:1.7.0+dfsg-4+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libpdfbox-java.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-505.data"
# $Id: $