[RFR] wml://lts/security/2016/dla-63{0,1,2,3,4,5,6,6-2,7,8,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-63x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7115";>CVE-2016-7115</a>
<p>Un dépassement de tampon dans la fonction handle_packet dans mactelnet.c
dans le client de MAC-Telnet, version 0.4.3 et antérieure, permet à des
serveurs TELNET distants d'exécuter du code arbitraire à l'aide d'une longue
chaîne dans un paquet de contrôle MT_CPTYPE_ENCRYPTIONKEY.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.3.4-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mactelnet.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-639.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une sortie du bac à sable à l'aide de l'ioctl <q>TIOCSTI</q>
dans policycoreutils, un ensemble de programmes requis pour les opérations
élémentaires sur un système basé sur SELinux.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
policycoreutils version 2.1.10-9+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets policycoreutils.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-638.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenSSL :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2177";>CVE-2016-2177</a>

<p>Guido Vranken a découvert qu'OpenSSL utilise un pointeur arithmétique
non défini. Des informations supplémentaires peuvent être trouvées à
l'adresse <a href="https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/";>
https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/</a>.</p></li>


<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2178";>CVE-2016-2178</a>

<p>Cesar Pereida, Billy Brumley et Yuval Yarom ont découvert une fuite de
temporisation dans le code de DSA.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2179";>CVE-2016-2179</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2181";>CVE-2016-2181</a>

<p>Quan Luo et l'équipe d'audit OCAP ont découvert des vulnérabilités de
déni de service dans DTLS.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2180";>CVE-2016-2180</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2182";>CVE-2016-2182</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-6303";>CVE-2016-6303</a>

<p>Shi Lei a découvert une lecture de mémoire hors limites dans
TS_OBJ_print_bio() et une écriture hors limites dans BN_bn2dec()
et dans MDC2_Update().</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2183";>CVE-2016-2183</a>

<p>Les suites de chiffrement basées sur DES sont rétrogradées du groupe
HIGH au groupe MEDIUM pour atténuer l'attaque SWEET32.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6302";>CVE-2016-6302</a>

<p>Shi Lei a découvert que l'utilisation de SHA512 dans les tickets de
session TLS est vulnérable à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6304";>CVE-2016-6304</a>

<p>Shi Lei a découvert qu'une requête d'état OCSP excessivement grande
peut avoir pour conséquence un déni de service par une surconsommation
de mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6306";>CVE-2016-6306</a>

<p>Shi Lei a découvert que l'absence de vérification de longueur de message
lors de l'analyse de certificats peut éventuellement avoir pour conséquence
un déni de service.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.0.1t-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssl et
libssl1.0.0.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-637.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La mise à jour de firefox-esr vers la version 45.4.0esr-1~deb7u1
provoquait un échec de construction sur les architectures armel et armhf.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 45.4.0esr-1~deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-636-2.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur
web Firefox de Mozilla : plusieurs erreurs de sécurité de la mémoire,
dépassements de tampon et autres erreurs d'implémentation pourraient
conduire à l'exécution de code arbitraire ou à la divulgation
d'informations.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 45.4.0esr-1~deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-636.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait des problèmes de lecture hors limites dans dwarfutils, une
bibliothèque pour consommer et produire des informations de débogage de
DWARF.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 20120410-2+deb7u1 de dwarfutils.</p>

<p>Nous vous recommandons de mettre à jour vos paquets dwarfutils.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-635.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait deux problèmes dans dropbear, un serveur et un client SSH2
légers :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7406";>CVE-2016-7406</a>

<p>Problèmes potentiels dans le formatage de messages de sortie.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7407";>CVE-2016-7407</a>

<p>Dépassements lors de l'analyse du format de clé ASN.1 d'OpenSSH.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans dropbear
version
2012.55-1.3+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets dropbear.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-634.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans WordPress, un outil de
blog. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie
les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8834";>CVE-2015-8834</a>

<p>Une vulnérabilité de script intersite (XSS) dans wp-includes/wp-db.php
dans WordPress avant la version 4.2.2 permet à des attaquants distants
d'injecter un script web arbitraire ou du HTML à l'aide d'un long
commentaire qui est stocké incorrectement à cause de limitations du type de
données TEXT de MySQL TEXT. NOTE : Cette vulnérabilité existe du fait d'une
correction incomplète du
<a href="https://security-tracker.debian.org/tracker/CVE-2015-3440";>CVE-2015-3440</a></p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4029";>CVE-2016-4029</a>

<p>WordPress avant la version 4.5 ne prend pas en considération les formats
octal et hexadécimal d'adresse IP lors de la détermination d'une adresse
intranet. Cela permet à des attaquants distants de contourner un mécanisme
voulu de protection contre une vulnérabilité SSRF (Server Side Request
Forgery) à l'aide d'une adresse contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5836";>CVE-2016-5836</a>

<p>L'implémentation du protocole oEmbed dans WordPress avant la
version 4.5.3 permet à des attaquants distants de provoquer un déni de
service à l'aide de vecteurs non précisés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6634";>CVE-2016-6634</a>

<p>Une vulnérabilité de script intersite (XSS) dans la page de
configuration de réseau dans WordPress avant la version 4.5 permet à des
attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide
de vecteurs non précisés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6635";>CVE-2016-6635</a>

<p>Un vulnérabilité de contrefaçon de requête intersite (CSRF) dans la
fonction wp_ajax_wp_compression_test dans wp-admin/includes/ajaxactions.php
dans WordPress avant la version 4.5 permet à des attaquants distants de
détournement de l'authentification des administrateurs pour des requêtes
qui modifient l'option de compression de script.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7168";>CVE-2016-7168</a>

<p>Correction d'une vulnérabilité de script intersite à l'aide d'un nom de
fichier d'image.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7169";>CVE-2016-7169</a>

<p>Correction d'une vulnérabilité de traversée de répertoires dans le
chargeur de paquet de mise à niveau.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.6.1+dfsg-1~deb7u12.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-633.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans les dissecteurs pour
H.225, Catapult DCT2000, UMTS FP et IPMI, qui pourraient avoir pour
conséquence un déni de service ou l'exécution de code arbitraire.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.12.1+g01b65bf-4+deb8u6~deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wireshark.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-632.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait deux vulnérabilités dans unadf, un outil pour extraire des
fichiers à partir d'un vidage d'un Amiga Disk File (.adf) :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1243";>CVE-2016-1243</a>

<p>Un dépassement de tampon de pile provoqué en faisant confiance
aveuglement aux longueurs de nom de chemin des fichiers archivés.</p>

<p>Le tampon de pile alloué sysbuf était rempli avec sprintf() sans aucune
vérification de limites dans la fonction extracTree().</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1244";>CVE-2016-1244</a>

<p>Exécution d'entrée non vérifiée</p>

<p>La commande d'interpréteur utilisée pour créer les chemins de répertoire
était construite en concaténant les noms des fichiers archivés à la fin de
la chaîne de commande.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans unadf
version 0.7.11a-3+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets unadf.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-631.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Lyon Yang a découvert que les interpréteurs de commande client C cli_st
et cli_mt de Zookeeper d'Apache, un service de coordination haute
performance pour les applications distribuées, étaient affectés par une
vulnérabilité de dépassement de tampon associée à l'analyse de la commande
d'entrée lors de l'utilisation de la syntaxe de mode batch <q> cmd: </q>.
Si la chaîne de commande dépasse 1024 caractères, il se produit un
dépassement de tampon.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.3.5+dfsg1-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets zookeeper.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-630.data"
# $Id: $