[RFR] wml://lts/security/2016/dla-53{0,1,2,3,4,5,6,7,8,9}.wml
- To: debian-l10n-french@lists.debian.org
- Subject: [RFR] wml://lts/security/2016/dla-53{0,1,2,3,4,5,6,7,8,9}.wml
- From: Jean-Pierre Giraud <jenapierregiraud75@free.fr>
- Date: Wed, 1 Jan 2020 00:00:55 +0100
- Message-id: <[🔎] 98450c15-bc67-98ee-7506-bdeb148689b1@free.fr>
Bonjour,
quelques anciennes annonces de sécurité de plus.
Les textes en anglais sont ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-53x.wml
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution
complète de virtualisation des hôtes Linux sur du matériel x86 avec des
clients x86.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3710";>CVE-2016-3710</a>
<p>Wei Xiao et Qinghao Tang de 360.cn Inc ont découvert un défaut de
lecture et d'écriture hors limites dans le module VGA de QEMU. Un
utilisateur client privilégié pourrait utiliser ce défaut pour exécuter du
code arbitraire sur l'hôte avec les privilèges du processus hôte de QEMU.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3712";>CVE-2016-3712</a>
<p>Zuozhi Fzz de Alibaba Inc a découvert de possibles problèmes de
dépassement d'entier ou d'accès en lecture hors limites dans le module VGA
de QEMU. Un utilisateur client privilégié pourrait utiliser ce défaut pour
monter un déni de service (plantage du processus de QEMU).</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u13.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-539.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les vulnérabilités suivantes ont été découvertes dans la version de
Wireshark pour Wheezy :</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5350";>CVE-2016-5350</a>
<p>Le dissecteur de SPOOLS pourrait entrer dans une boucle infinie</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5351";>CVE-2016-5351</a>
<p>Le dissecteur IEEE 802.11 pourrait planter</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5353";>CVE-2016-5353</a>
<p>Le dissecteur UMTS FP pourrait planter</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5354";>CVE-2016-5354</a>
<p>Certains dissecteurs USB pourrait planter</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5355";>CVE-2016-5355</a>
<p>L'analyseur de fichier Toshiba pourrait planter</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5356";>CVE-2016-5356</a>
<p>L'analyseur de fichier CoSine pourrait planter</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5357";>CVE-2016-5357</a>
<p>L'analyseur de fichier NetScreen pourrait planter</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5359";>CVE-2016-5359</a>
<p>Le dissecteur WBXML pourrait entrer dans une boucle infinie</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.12.1+g01b65bf-4+deb8u6~deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets wireshark.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-538.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Roundcube, une solution web de messagerie pour les serveurs IMAP, était
vulnérables à des vulnérabilités de script intersite (XSS) lors du
traitement d'images SVG. Lors d'un clic droit sur le lien de téléchargement
d'une image attachée, il était possible que du Javascript incorporé
pourrait être exécuté dans un onglet distinct.</p>
<p>La mise à jour désactive l'affichage d'images SVG dans les courriels et
les onglet. Le téléchargement des pièces jointes est toujour possible.
Cette mise à jour de sécurité atténue aussi d'autres manières d'exploiter
ce problème dans les images SVG.
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-4068";>CVE-2016-4068</a>)</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.7.2-9+deb7u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets roundcube.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-537.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dans une redirection de serveur d'une ressource HTTP vers une ressource
FTP, wget devrait faire confiance au serveur HTTP et utilise le nom dans
l'URL redirigée comme nom de fichier de destination. Ce comportement a
changé et, maintenant, il fonctionne de la même manière qu'une redirection
d'une ressource HTTP à une autre ressource HTTP, donc le nom original est
utilisé comme fichier de destination. Pour conserver le comportement
précédent l'utilisateur doit fournir des --trust-server-names.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.13.4-3+deb7u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets wget.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-536.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Brandon Perry a découvert que xerces-c, une bibliothèque d'analyse et de
validation de XML pour C++, échoue à analyser un DTD profondément imbriqué,
provoquant un dépassement de pile. Un attaquant distant non authentifié
peut tirer avantage de ce défaut pour provoquer un déni de service à
l'encontre des applications qui utilisent la bibliothèque xerces-c.</p>
<p>En complément, cette mise à jour inclut une amélioration pour permettre
aux applications de désactiver complètement le traitement de DTD grâce à
l'usage d'une variable d'environnement (XERCES_DISABLE_DTD).</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.1.1-3+deb7u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets xerces-c.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-535.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5766";>CVE-2016-5766</a>
<p>Dépassement d'entier dans _gd2GetHeader() avec comme conséquence un
dépassement de tas.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.0.36~rc1~dfsg-6.1+deb7u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libgd2.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-534.data"
# $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5093";>CVE-2016-5093</a>
<p>L'absence de caractère null provoque une longueur de zend_string
inattendue et une fuite mémoire de tas. Le script de test utilise
locale_get_primary_language pour accéder à get_icu_value_internal mais il y
a quelques autres fonctions qui déclenche aussi ce problème :<br>
locale_canonicalize, locale_filter_matches,<br>
locale_lookup, locale_parse</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5094";>CVE-2016-5094</a>
<p>pas de création de chaînes avec des longueurs en dehors de l'intervalle
des entiers</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5095";>CVE-2016-5095</a>
<p>similaire au <a href="https://security-tracker.debian.org/tracker/CVE-2016-5094";>CVE-2016-5094</a>
pas de création de chaînes avec des longueurs en dehors de l'intervalle des
entiers</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5096";>CVE-2016-5096</a>
<p>confusion int/size_t dans fread</p></li>
<li>CVE-TEMP-bug-70661
<p>bogue nº 70661: vunérabilité d’utilisation de mémoire après libération
dans la désérialisation de paquet de WDDX</p></li>
<li>CVE-TEMP-bug-70728
<p>bogue nº 70728 : vulnérabilité de confusion de type dans
PHP_to_XMLRPC_worker()</p></li>
<li>CVE-TEMP-bug-70741
<p>bogue nº 70741 : vulnérabilité de confusion de type dans la
désérialisation de paquet de session WDDX</p></li>
<li>CVE-TEMP-bug-70480-raw
<p>bogue nº 70480 : dépassement de tampon en lecture dans
php_url_parse_ex()</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 5.4.45-0+deb7u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-533.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité d'injection SQL dans l'interface XML-RPC
dans MovableType, un moteur de blog.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 5.1.4+dfsg-4+deb7u4 de movabletype-opensource.</p>
<p>Nous vous recommandons de mettre à jour vos paquets movabletype-opensource.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-532.data"
# $Id: $
#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un vulnérabilité a été découverte dans SPICE, le « Simple Protocol for
Independent Computing Environments ».</p>
<p>Frediano Ziglio de Red Hat a découvert que SPICE permettait aux
utilisateurs d'un système d'exploitation client local de lire à partir de
d'écrire vers des emplacements arbitraires de la mémoire de l'hôte au moyen
de paramètres primaires de surface contrefaits.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 0.11.0-1+deb7u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets spice.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-531.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Comme précédemment annoncé [1][2], l'implémentation par défaut de Java
a basculé d'OpenJDK 6 à OpenJDK 7. Nous recommandons fortement de supprimer
les paquets d'OpenJDK 6 qui ne sont plus pris en charge et ne recevront
plus désormais de mise à jour de sécurité.</p>
<p>[1] <a href="https://lists.debian.org/debian-lts-announce/2016/05/msg00007.html";>https://lists.debian.org/debian-lts-announce/2016/05/msg00007.html</a>
[2] <a href="https://www.debian.org/News/2016/20160425";>https://www.debian.org/News/2016/20160425</a></p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.47+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets java-common.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-530.data"
# $Id: $
Reply to: