[RFR] wml://lts/security/2016/dla-57{0,1,2,3,4,5,5-2,6,7,8,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-57x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une
implémentation de la plateforme Java d'Oracle, avec pour conséquence des
fuites du bac à sable (« sandbox ») Java, un déni de service ou la
divulgation d'informations.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 7u111-2.6.7-1~deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openjdk-7.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-579.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il est signalé qu'OpenSSH, le client et serveur Secure Shell, avait un
problème d'énumeration d'utilisateurs.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6210";>CVE-2016-6210</a>

<p>Énumération d'utilisateurs au moyen d'un canal temporel caché</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 6.0p1-4+deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssh.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-578.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>L'outil redis-cli dans redis (une base de données clé-valeur en mémoire)
créait des fichiers d'historique lisibles par tous.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 2:2.4.14-1+deb7u1 de redis.</p>

<p>Nous vous recommandons de mettre à jour vos paquets redis.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-577.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Deux vulnérabilités d'utilisation de mémoire après libération ont été
découvertes dans DBD::mysql, un pilote Perl DBI pour le serveur de base de
données. Un attaquant distant peut tirer avantage de ces défauts pour
provoquer un déni de service à l'encontre d'une application utilisant
DBD::mysql (plantage de l'application), ou éventuellement pour exécuter du
code arbitraire avec les droits de l'utilisateur exécutant l'application.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.021-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libdbd-mysql-perl.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-576.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>L'envoi précédent de collectd faisait apparaît un problème dans la
manière dont le greffon de réseau initialisait gcrypt empêchant le
chargement du greffon quand la signature ou le chiffrement de paquet sont
activés. Précédemment, cela pouvait mener à des plantages du programme.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 5.1.0-3+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets collectd.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-575-2.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Emilien Gaspar a découvert que collectd, un démon de surveillance et de
collecte de statistiques, traitait incorrectement les paquets réseau
entrants. Cela a pour conséquence un dépassement de zone mémoire,
permettant à un attaquant distant soit de provoquer un déni de service par
plantage de l'application, soit éventuellement d'exécuter du code
arbitraire.</p>

<p>En complément, des chercheurs en sécurité de l'Université de Columbia et
de l'Université de Virginie ont découvert que collectd échouait dans la
vérification de la valeur de retour durant l'initialisation. Cela signifie
que le démon pourrait parfois être lancé sans les paramètres de sécurité
souhaités.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 5.1.0-3+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets collectd.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-575.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution
complète de virtualisation sur les machines x86.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5239";>CVE-2015-5239</a>

<p>Lian Yihan a découvert que QEMU gérait incorrectement certaine charges
utiles de message dans le pilote d'affichage de VNC. Un client malveillant
pourrait utiliser ce problème pour provoquer le blocage du processus de
QEMU, avec pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2857";>CVE-2016-2857</a>

<p>Ling Liu a découvert que QEMU gérait incorrectement les routines de
sommes de contrôle IP. Un attaquant dans le client pourrait utiliser ce
problème pour provoquer le plantage de QEMU, avec pour conséquence un déni
de service, ou éventuellement la divulgation d'octets de la mémoire de
l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4020";>CVE-2016-4020</a>

<p>Donghai Zdh a découvert que QEMU gérait incorrectement le TPR (Task
Priority Register). Un attaquant privilégié dans le client pourrait
utiliser ce problème pour éventuellement la divulgation d'octets de la
mémoire de l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4439";>CVE-2016-4439</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-6351";>CVE-2016-6351</a>

<p>Li Qiang a découvert que l'émulation du contrôleur Fast SCSI
(FSC) 53C9X est affectée par des problèmes d'accès hors limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5403";>CVE-2016-5403</a>

<p>Zhenhao Hong a découvert qu'un administrateur client malveillant peut
provoquer une allocation de mémoire illimitée dans QEMU (ce qui peut
provoquer une condition d'épuisement de mémoire) en soumettant des requêtes
virtio sans prendre la peine d'attendre leur achèvement.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u14.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-574.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans QEMU, un émulateur de
processeur rapide.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5239";>CVE-2015-5239</a>

<p>Lian Yihan a découvert que QEMU gérait incorrectement certaine charges
utiles de message dans le pilote d'affichage de VNC. Un client malveillant
pourrait utiliser ce problème pour provoquer le blocage du processus de
QEMU, avec pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2857";>CVE-2016-2857</a>

<p>Ling Liu a découvert que QEMU gérait incorrectement les routines de
sommes de contrôle IP. Un attaquant dans le client pourrait utiliser ce
problème pour provoquer le plantage de QEMU, avec pour conséquence un déni
de service, ou éventuellement la divulgation d'octets de la mémoire de
l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4020";>CVE-2016-4020</a>

<p>Donghai Zdh a découvert que QEMU gérait incorrectement le TPR (Task
Priority Register). Un attaquant privilégié dans le client pourrait
utiliser ce problème pour éventuellement la divulgation d'octets de la
mémoire de l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4439";>CVE-2016-4439</a>

<p>, <a href="https://security-tracker.debian.org/tracker/CVE-2016-6351";>CVE-2016-6351</a></p>

<p>Li Qiang a découvert que l'émulation du contrôleur Fast SCSI
(FSC) 53C9X est affectée par des problèmes d'accès hors limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5403";>CVE-2016-5403</a>

<p>Zhenhao Hong a découvert qu'un administrateur client malveillant peut
provoquer une allocation de mémoire illimitée dans QEMU (ce qui peut
provoquer une condition d'épuisement de mémoire) en soumettant des requêtes
virtio sans prendre la peine d'attendre leur achèvement.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u14.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-573.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans Icedove, la
version de Debian du client de messagerie Mozilla Thunderbird : plusieurs
erreurs de sécurité de la mémoire pourraient conduire à l'exécution de code
arbitraire ou à un déni de service.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:45.2.0-2~deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets icedove.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-572.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen. Le
projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3672";>CVE-2014-3672</a> (XSA-180)

<p>Andrew Sorensen a découvert qu'un domaine HVM peut épuiser l'espace
disque des hôtes en le remplissant du fichier journal.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3158";>CVE-2016-3158</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3159";>CVE-2016-3159</a> (XSA-172)

<p>Jan Beulich de SUSE a découvert que Xen ne gérait pas correctement les
écritures du bit FSW.ES du matériel lors de l'exécution sur des
processeurs AMD64. Un domaine malveillant peut tirer avantage de ce défaut
pour obtenir des informations sur l'utilisation de l'espace d'adresse et la
synchronisation d'un autre domaine, à un coût relativement faible.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3710";>CVE-2016-3710</a> (XSA-179)

<p>Wei Xiao et Qinghao Tang de 360.cn Inc ont découvert un défaut de
lecture et d'écriture hors limites dans le module VGA de QEMU. Un
utilisateur client privilégié pourrait utiliser ce défaut pour exécuter du
code arbitraire sur l'hôte avec les privilèges du processus hôte de QEMU.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3712";>CVE-2016-3712</a> (XSA-179)

<p>Zuozhi Fzz de Alibaba Inc a découvert de possibles problèmes de
dépassement d'entier ou d'accès en lecture hors limites dans le module VGA
de QEMU. Un utilisateur client privilégié pourrait utiliser ce défaut pour
monter un déni de service (plantage du processus de QEMU).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3960";>CVE-2016-3960</a> (XSA-173)

<p>Ling Liu et Yihan Lian de l'équipe Cloud Security de Qihoo 360 ont
découvert un dépassement d'entier dans le code de la table de pages
miroir x86. Un client HVM utilisant des tables de pages miroir peut faire
planter l'hôte. Un client PV utilisant des tables de pages miroir
(c'est-à-dire ayant été migrées) avec des superpages PV activées (ce qui
n'est pas le cas par défaut) peut faire planter l'hôte, ou corrompre la
mémoire de l'hyperviseur, menant éventuellement à une élévation de
privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4480";>CVE-2016-4480</a> (XSA-176)

<p>Jan Beulich a découvert qu'un traitement incorrect de table de page
pourrait avoir pour conséquence une augmentation de droits dans une
instance de client Xen.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6258";>CVE-2016-6258</a> (XSA-182)

<p>Jeremie Boutoille a découvert qu'un traitement incorrect de table de
page dans des instances paravirtuelles (PV) pourrait avoir pour conséquence
une augmentation de droits du client vers l'hôte.</p></li>

<li>En complément, cette annonce de sécurité de Xen sans référence CVE a
été corrigée : XSA-166

<p>Konrad Rzeszutek Wilk et Jan Beulich ont découvert que le traitement
d'ioreq est éventuellement vulnérable à une problème de lectures multiples.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.1.6.lts1-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xen.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-571.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il était possible piéger la fonction KArchiveDirectory::copyTo() de
kde4libs dans l'extraction de fichiers vers des emplacements arbitraires du
système à partir d'un fichier tar préparé pour l'occasion en dehors du
dossier d'extraction.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4:4.8.4-4+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets kde4libs.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-570.data"
# $Id: $