[RFR] wml://lts/security/2016/dla-54{0,1,2,3,4,5,6,6-2,7,8,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-54x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>EventMachine, un moteur de réseau Ruby pourrait se planter en ouvrant un
grand nombre de connexions parallèles (>= 1024) vers un serveur utilisant
le moteur EventMachine. Le plantage se produit du fait de l'écrasement de
la pile par les descripteurs de fichier.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.12.10-3+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ruby-eventmachine.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-549.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité de redirection d'ouverture dans drupal7,
un environnement de gestion de contenu.</p>

<p>Le module <q>Overlay</q> dans le noyau de Drupal affiche les pages
d'administration comme une couche au-dessus de la page actuelle (en
utilisant JavaScript) plutôt que de remplacer la page dans la fenêtre de
navigation. Le module validait pas suffisamment les URL avant d'afficher
leur contenu, menant à une vulnérabilité de redirection d'ouverture.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 7.14-2+deb7u13 dans drupal7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-548.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait deux vulnérabilité de déni de service dans graphicsmagick,
une collection d'outils de traitement d'images :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5240";>CVE-2016-5240</a>

<p>Déni de service évité en détectant et en rejetant des arguments
« stroke-dasharray » négatifs qui provoquaient une boucle infinie.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5241";>CVE-2016-5241</a>

<p>Correction d'un problème de division par zéro si une image de motif de
remplissage ou de traits ne comportait aucune colonne ou ligne, pour éviter
une attaque par déni de service.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.3.16-1.1+deb7u3 de graphicsmagick.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-574.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La DLA 546-1 a été publiée de façon incorrecte avant que la mise à jour
des paquets de clamav ne soit disponible et il s'ensuit des problèmes avec
l'acceptation du paquet (qui a été depuis corrigé). Des mises à jour sont
maintenant disponibles pour toutes les architectures prises en charge par
LTS.</p>

<p>Nous vous recommandons de mettre à jour vos paquets clamav.</p>

<p>La version 0.99.2 a été publiée par l'amont. Cette actualisation met à
jour wheezy-lts vers la dernière version en ligne conforme à l'approche
adoptée pour les autres versions de Debian.</p>

<p>Ces modifications ne sont pas strictement requises que clamav
fonctionne, mais les utilisateurs des versions précédentes dans Wheezy
peuvent ne pas pouvoir utiliser toutes les signatures de virus actuelles
et pourraient recevoir des avertissements.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.99.2+dfsg-0+deb7u2.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 0.99.2+dfsg-0+deb7u2 de clamav.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-546-2.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Nous vous recommandons de mettre à jour vos paquets clamav.</p>

<p>La version 0.99.2 a été publiée par l'amont. Cette actualisation met à
jour wheezy-lts vers la dernière version en ligne conforme à l'approche
adoptée pour les autres versions de Debian.</p>

<p>Ces modifications ne sont pas strictement requises que clamav
fonctionne, mais les utilisateurs des versions précédentes dans Wheezy
peuvent ne pas pouvoir utiliser toutes les signatures de virus actuelles
et pourraient recevoir des avertissements.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.99.2+dfsg-0+deb7u1.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 0.99.2+dfsg-0+deb7u1 de clamav.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-546.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs problèmes de sécurité ont été identifiés et corrigés dans ICU,
la bibliothèque C et C++ « International Components for Unicode », dans
Debian Wheezy.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2632";>CVE-2015-2632</a>

<p>Vulnérabilité de dépassement de tampon.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4844";>CVE-2015-4844</a>

<p>Vulnérabilité de dépassement de tampon.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0494";>CVE-2016-0494</a>

<p>Vulnérabilité d'entier signé et de dépassement d'entier.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.8.1.1-12+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets icu.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-545.data"
# $Id: $

#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Le programme tcprewrite, un élément de la suite tcpreplay, ne vérifie
pas la taille des trames qu'il traite. Des trames très grandes peuvent
déclencher une erreur de segmentation, et ce type de trames survient
lors de la capture de paquets sur des interfaces un MTU de ou proche
de 65536. Par exemple, l'interface de boucle local lo du noyau Linux a une
valeur de ce type.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.4.3-2+wheezy2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tcpreplay.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-544.data"
# $Id: $

#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>sqlite3, une bibliothèque C qui implémente un moteur de base de données
SQL, rejetterait un répertoire temporaire (par exemple, comme spécifié par
la variable d'environnement TMPDIR) pour lequel l'utilisateur exécutant la
base n'aurait pas les permissions de lecture. Cela pourrait avoir pour
conséquence une fuite d'informations dans la mesure où des répertoires
temporaires globaux moins sûrs (par exemple, /var/tmp ou /tmp) pourraient
être utilisés à la place.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 3.7.13-1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets sqlite3.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-543.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>De nombreux problèmes de sécurité ont été identifiés et corrigés dans
Pidgin dans Debian <q>Wheezy</q>.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2365";>CVE-2016-2365</a>

<p>Vulnérabilité de déni de service dans la commande Markup de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2366";>CVE-2016-2366</a>

<p>Vulnérabilité de déni de service dans la commande Table de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2367";>CVE-2016-2367</a>

<p>Vulnérabilité de divulgation de mémoire de longueur d'Avatar de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2368";>CVE-2016-2368</a>

<p>Plusieurs vulnérabilités de dépassement de tampon dans g_snprintf de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2369";>CVE-2016-2369</a>

<p>Vulnérabilité de déni de service dans CP_SOCK_REC_TERM de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2370";>CVE-2016-2370</a>

<p>Vulnérabilité de déni de service dans Custom Resource de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2371";>CVE-2016-2371</a>

<p>Vulnérabilité d'exécution de code dans Extended Profiles de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2372";>CVE-2016-2372</a>

<p>Vulnérabilité de divulgation de mémoire de longueur dans File Transfer de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2373";>CVE-2016-2373</a>

<p>Vulnérabilité de déni de service dans Contact Mood de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2374";>CVE-2016-2374</a>

<p>Vulnérabilité d'exécution de code dans MultiMX Message de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2375";>CVE-2016-2375</a>

<p>Vulnérabilité de divulgation de mémoire de Suggested Contacts de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2376";>CVE-2016-2376</a>

<p>Vulnérabilité d'exécution de code dans read stage 0x3 de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2377";>CVE-2016-2377</a>

<p>Vulnérabilité de dépassement de tampon dans HTTP Content-Length de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2378";>CVE-2016-2378</a>

<p>Vulnérabilité d'exécution de code dans get_utf8_string de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2380";>CVE-2016-2380</a>

<p>Vulnérabilité de fuite d'information dans mxit_convert_markup_tx de MXIT</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4323";>CVE-2016-4323</a>

<p>Vulnérabilité d'écrasement de fichier arbitraire de Splash Image de MXIT</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.10.10-1~deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets pidgin.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-542.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait un problème de politique de mot de passe dans libvirt, une
bibliothèque d'interface avec différents systèmes de virtualisation.</p>

<p>Le réglage d'un mot de passe graphique vide est documenté comme une
manière de désactiver l'accès à VNC/SPICE, mais QEMU ne se comporte pas
toujours comme cela. VNC pourrait accepter le mot de passe vide. Le
comportement est imposé en réglant l'expiration du mot de passe à <q>now</q>.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.9.12.3-1+deb7u2 de libvirt.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libvirt.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-541.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur
rapide de processeur.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3710";>CVE-2016-3710</a>

<p>Wei Xiao et Qinghao Tang de 360.cn Inc ont découvert un défaut de
lecture et d'écriture hors limites dans le module VGA de QEMU. Un
utilisateur client privilégié pourrait utiliser ce défaut pour exécuter du
code arbitraire sur l'hôte avec les privilèges du processus hôte de QEMU.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3712";>CVE-2016-3712</a>

<p>Zuozhi Fzz de Alibaba Inc a découvert de possibles problèmes de
dépassement d'entier ou d'accès en lecture hors limites dans le module VGA
de QEMU. Un utilisateur client privilégié pourrait utiliser ce défaut pour
monter un déni de service (plantage du processus de QEMU).</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6a+deb7u13.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-540.data"
# $Id: $