[RFR] wml://lts/security/2016/dla-64{0,1,2,3,4,5,6,7,8,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-64x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="0e9af03d8cf68ff5ddec5d25a056c8dacce03437" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait un possible contournement des protections contre la
contrefaçon de requête intersite (CSRF) dans les sites qui utilisent
Google Analytics dans python-django, une structure de développement web
haut niveau en Python.</p>

<p>Plus d'informations sont disponibles dans l'annonce amont :</p>

<p><url "https://www.djangoproject.com/weblog/2016/sep/26/security-releases/";></p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
python-django version 1.4.22-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-649.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Gzob Qq a découvert que les fonctions query-building dans c-ares, une
bibliothèque de requêtes DNS asynchrones, ne traitaient pas correctement
des noms de requêtes contrefaits, menant à un dépassement de tas et
éventuellement à l'exécution de code arbitraire.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.9.1-3+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets c-ares.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-648.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p> Il y avait une vulnérabilité d'écriture hors limites dans la
fonctionnalité de traitement d'image XMP dans freeimage, une bibliothèque
de prise en charge de divers formats d'images graphiques. Un fichier XMP
contrefait pour l'occasion peut provoquer un écrasement de mémoire
arbitraire causant l'exécution de code.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans freeimage
version 3.15.1-1.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets freeimage.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-647.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4861";>CVE-2016-4861</a>

<p>L'implémentation de ORDER BY et GROUP BY dans Zend_Db_Select
demeurait prédisposée à une injection SQL lors de l'utilisation d'une
combinaison d'expressions SQL et de commentaires. Ce correctif de
sécurité fournit une solution complète qui identifie et supprime les
commentaires avant de vérifier la validité de l'instruction pour s'assurer
qu'il ne survienne pas de vecteur d'injection SQL.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.11.13-1.1+deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets zendframework.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-646.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2775";>CVE-2016-2775</a>

<p>Plantage de lwresd avec nom de requête trop long.<br/>
Rétroportage du correctif amont 38cc2d14e218e536e0102fa70deef99461354232.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2776";>CVE-2016-2776</a>

<p>Échec d'assertion dû à une requête contrefaite non précisée.<br/>
Correctif basé sur le correctif 43139-9-9.patch de ISC.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:9.8.4.dfsg.P1-6+nmu2+deb7u11.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bind9.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-645.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans libav :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1872";>CVE-2015-1872</a>

<p>La fonction ff_mjpeg_decode_sof dans libavcodec/mjpegdec.c dans Libav
antérieur à 0.8.18 ne vérifiait pas le nombre de composants dans le
segment démarrage de trame JPEG-LS. Cela permet à des attaquants distants
de provoquer un déni de service (accès tableau hors limites) ou
éventuellement d’avoir un impact non précisé à l’aide de données Motion
JPEG contrefaites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5479";>CVE-2015-5479</a>

<p>La fonction ff_h263_decode_mba dans libavcodec/ituh263dec.c dans Libav
antérieur à 11.5 permet à des attaquants distants de provoquer un déni de
service (erreur de division par zéro et plantage de l'application) à l'aide
d'un fichier avec des dimensions contrefaites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7393";>CVE-2016-7393</a>

<p>La fonction aac_sync dans libavcodec/aac_parser.c dans Libav antérieur
à 11.5 est vulnérable à un dépassement de pile.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 6:0.8.18-0+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libav.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-644.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans le compilateur Scheme
CHICKEN :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6830";>CVE-2016-6830</a>

<p>Dépassement de tampon dans les procédures <q>process-execute</q> et
<q>process-spawn</q> de CHICKEN Scheme à partir de l'unité posix</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6831";>CVE-2016-6831</a>

<p>Fuite de mémoire dans les procédures <q>process-execute</q> et
<q>process-spawn</q> de CHICKEN Scheme</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.7.0-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets chicken.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-643.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Active Record dans Ruby on Rails 4.1.x antérieur à 4.1.14.1, 4.2.x
antérieur à 4.2.5.1 et 5.x antérieur à 5.0.0.beta1.1 prend en charge
l'utilisation des écritures au niveau de l'instance pour les accesseurs de
classe. Cela permet à des attaquants distants de contourner
des étapes de validation voulues au moyen de paramètres contrefaits.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.2.6-5+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets
ruby-activerecord-3.2.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-642.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Active Support dans Ruby on Rails 4.1.x antérieur à 4.1.14.1, 4.2.x
antérieur à 4.2.5.1 et 5.x antérieur à 5.0.0.beta1.1 prend en charge
l'utilisation des écritures au niveau de l'instance pour les accesseurs de
classe. Cela permet à des attaquants distants de contourner
des étapes de validation voulues au moyen de paramètres contrefaits.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.2_3.2.6-6+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets
ruby-activesupport-3.2.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-641.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans Icedove, la
version de Debian du client de messagerie et de nouvelles Mozilla
Thunderbird : plusieurs erreurs de sécurité de la mémoire pourraient
conduire à l'exécution de code arbitraire ou à un déni de service.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:45.3.0-1~deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets icedove.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
 <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-640.data"
# $Id: $