[RFR] wml://lts/security/2016/dla-55{0,1,2,3,4,5,6,7,8,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-55x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le démon du protocole
NTP (« Network Time Protocol ») et des utilitaires :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7974";>CVE-2015-7974</a>

<p>Matt Street a découvert qu'une validation de clé insuffisante permet des
attaques par usurpation d'identité entre pairs authentifiés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7977";>CVE-2015-7977</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7978";>CVE-2015-7978</a>

<p>Stephen Gray a découvert qu'un déréférencement de pointeur NULL et un
dépassement de tampon dans le traitement des commandes <q>ntpdc reslist</q>
peuvent avoir pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7979";>CVE-2015-7979</a>

<p>Aanchal Malhotra a découvert que si NTP est configuré en mode diffusion,
un attaquant peut envoyer des paquets d'authentification mal formés qui
brisent l'association avec le serveur d'autres clients de diffusion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8138";>CVE-2015-8138</a>

<p>Matthew van Gundy et Jonathan Gardner ont découvert que l'absence de
validation des estampilles temporelles d'origine dans les clients ntpd peut
avoir pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8158";>CVE-2015-8158</a>

<p>Jonathan Gardner a découvert que l'absence de vérification des entrées
dans ntpq peut avoir pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1547";>CVE-2016-1547</a>

<p>Stephen Gray et Matthew van Gundy ont découvert qu'un traitement
incorrect de paquets crypto-NAK peut avoir pour conséquence un déni de
service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1548";>CVE-2016-1548</a>

<p>Jonathan Gardner et Miroslav Lichvar ont découvert que des clients ntpd
pourraient être contraints de passer du mode basique client/serveur au mode
entrelacé symétrique, empêchant la synchronisation de l'heure.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1550";>CVE-2016-1550</a>

<p>Matthew van Gundy, Stephen Gray et Loganaden Velvindron ont découvert
que des fuites de temporisation dans le code d'authentification de paquet
pourraient avoir pour conséquence la récupération d'un condensé de message.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2516";>CVE-2016-2516</a>

<p>Yihan Lian a découvert que des adresses IP dupliquées dans des
directives <q>unconfig</q> déclenchent une assertion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2518";>CVE-2016-2518</a>

<p>Yihan Lian a découvert qu'un accès mémoire hors limites pourrait
éventuellement planter ntpd.</p>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:4.2.6.p5+dfsg-2+deb7u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ntp.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-559.data"
# $Id: $

#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un problème de sécurité a été découvert dans le serveur mandataire cache
Squid dans la branche de version 2.7.STABLE9.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4554";>CVE-2016-4554</a>

<p>Jianjun Chen a découvert que Squid était vulnérable à une attaque par
dissimulation d'en-tête qui pourrait conduire à un empoisonnement de cache
et au contournement de la politique de sécurité de même origine dans Squid
et certains navigateurs client.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2.7.STABLE9-4.1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets squid.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-558.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le PATH par défaut n'était pas sécurisé dans dietlibc, une libc
optimisée pour une taille réduite.</p>

<p>Thorsten Glaser a découvert que le PATH par défaut dans dietlibc (si la
variable d'environnement n'est pas configurée) incluait le répertoire de
travail courant.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans :</p>

<ul>
 <li>dietlibc version 0.33~cvs20120325-4+deb7u1</li>
 <li>minit version 0.10-5+deb7u1</li>
</ul>

<p>Nous vous recommandons de mettre à jour vos paquets dietlibc et minit.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-557.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Un dépassement de tampon dans le gestionnaire de cache de Squid 3,
identifié par le
<a href="https://security-tracker.debian.org/tracker/CVE-2016-4051";>CVE-2016-4051</a>,
a été traité par la DLA-478-1 et le paquet Debian
version 3.1.20-2.2+deb7u6. Cependant, le correctif était incomplet et donc
un nouvel envoi était nécessaire.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 3.1.20-2.2+deb7u6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets squid3.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-556.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p> Django, un cadre de développement web de haut niveau en Python, est
prédisposé à une vulnérabilité de script intersite dans la vue
additionnelle (« popup ») et de déboguage relative à l'ajout ou au
changement d'administrateur.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.4.5-1+deb7u17.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-555.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans libarchive, une
bibliothèque pour la lecture et l'écriture d'archives dans divers formats.
Un attaquant peut tirer avantage de ces défauts pour provoquer un déni de
à l'encontre d'une application utilisant la bibliothèque libarchive
(plantage de l'application), ou éventuellement exécuter du code arbitraire
avec les privilèges de l'utilisateur exécutant l'application.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.0.4-3+wheezy2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libarchive.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-554.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Scott Geary de VendHQ a découvert que le serveur web HTTPD d'Apache
utilisait la valeur de l'en-tête du mandataire provenant des requêtes HTTP
pour initialiser la variable d'environnement HTTP_PROXY des scripts CGI qui
à son tour était incorrectement utilisée par certaines implémentations de
client HTTP pour configurer le mandataire des requêtes HTTP sortantes. Un
attaquant distant pourrait éventuellement utiliser ce défaut pour rediriger
des requêtes HTTP réalisées par un script CGI à un mandataire contrôlé par
l'attaquant à l'aide d'une requête HTTP malveillante.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2.2.22-13+deb7u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-553.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Quelques problèmes de sécurité mineur ont été identifiés et corrigés
dans binutils dans Debian LTS. Ce sont :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2226";>CVE-2016-2226</a>

<p>Un dépassement de tampon exploitable.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4487";>CVE-2016-4487</a>

<p>Une écriture non valable à cause de l'utilisation de mémoire après
libération dans un tableau btypevec.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4488";>CVE-2016-4488</a>

<p>Une écriture non valable à cause de l'utilisation de mémoire après
libération dans un tableau btypevec.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4489";>CVE-2016-4489</a>

<p>Une écriture non valable à cause d'un dépassement d'entier.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4490";>CVE-2016-4490</a>

<p>Une violation d'accès en écriture.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4492";>CVE-2016-4492</a>

<p>Des violations d'accès en écriture.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4493";>CVE-2016-4493</a>

<p>Des violations d'accès en lecture.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6131";>CVE-2016-6131</a>

<p>Un dépassement de pile lors de l'affichage de mauvais octets dans des
objets HEX Intel.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.22-8+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets binutils.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-552.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Phpmyadmin, un outil d'administration web pour MySQL, comportait
plusieurs vulnérabilités de script intersite (XSS) signalées.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5731";>CVE-2016-5731</a>

<p>Il est possible, avec une requête contrefaite pour l'occasion de
déclencher une attaque de script intersite (XSS) à travers le script
d'authentification OpenID.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5733";>CVE-2016-5733</a>

<p>Plusieurs vulnérabilités de script intersite ont été découvertes dans la
fonction Transformation. Une vulnérabilité a aussi été signalée permettant
à un serveur MySQL configuré de façon particulière d'exécuter une attaque
de script intersite. Cette attaque particulière nécessite de configurer la
directive log_bin du serveur MySQL avec la charge utile.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5739";>CVE-2016-5739</a>

<p>Une vulnérabilité a été signalée dans laquelle une Transformation
contrefaite pour l'occasion pourrait être utilisée pour divulguer des
informations y compris le jeton d'authentification. Cela pourrait être
utilisé pour diriger une attaque de contrefaçon de requête intersite (CSRF)
à l'encontre d'un utilisateur.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4:3.4.11.1-2+deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets phpmyadmin.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-551.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il existait une vulnérabilité dans le module utilisateur dans drupal7,
un environnement de gestion de contenu.</p>

<p>Si du code contribué ou personnalisé particulier déclenche une
reconstruction du formulaire de profil utilisateur, un utilisateur
enregistré peut se voir accorder tous les rôles sur le site. Cela aurait
pour conséquence habituellement que l'utilisateur obtienne un accès
d'administration.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans drupal7
version 7.14-2+deb7u14.</p>

<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-550.data"
# $Id: $