[RFR] wml://lts/security/2016/dla-66{0,1,2,3,4,4-2,5,6,7,8,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-67x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8576";>CVE-2016-8576</a>

<p>qemu-kvm construit avec la prise en charge de l'émulation du contrôleur
USB xHCI est vulnérable à un problème de boucle infinie. Il pourrait se
produire lors du traitement du « ring » de commande USB dans
<q>xhci_ring_fetch</q>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8577";>CVE-2016-8577</a>

<p>qemu-kvm construit avec la prise en charge du dorsal virtio-9p est
vulnérable à un problème de fuite de mémoire. Il pourrait se produire lors
de la réalisation d'une opération de lecture d'entrées et sorties dans la
routine v9fs_read().</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8578";>CVE-2016-8578</a>

<p>qemu-kvm construit avec la prise en charge du dorsal virtio-9p est
vulnérable à un problème de déréférencement de pointeur NULL. Il pourrait
se produire lors de la réalisation d'une opération de désérialisation d'un
vecteur d'entrées et sorties dans la routine v9fs_iov_vunmarshal().</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8669";>CVE-2016-8669</a>

<p>qemu-kvm construit avec la prise en charge de l'émulation de 16550A UART
est vulnérable à un problème de division par zéro. Il pourrait se produire
lors de la mise à jour de paramètres de périphériques série dans
<q>serial_update_parameters</q>.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u17.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-679.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans QEMU :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8576";>CVE-2016-8576</a>

<p>Quick Emulator (Qemu) construit avec la prise en charge de l'émulation
du contrôleur USB xHCI est vulnérable à un problème de boucle infinie. Il
pourrait se produire lors du traitement du « ring » de commande USB dans
<q>xhci_ring_fetch</q>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8577";>CVE-2016-8577</a>

<p>Quick Emulator (Qemu) construit avec la prise en charge du dorsal
virtio-9p est vulnérable à un problème de fuite de mémoire. Il pourrait se
produire lors de la réalisation d'une opération de lecture d'entrées et
sorties dans la routine v9fs_read().</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8578";>CVE-2016-8578</a>

<p>Quick Emulator (Qemu) construit avec la prise en charge du dorsal
virtio-9p est vulnérable à un problème de déréférencement de pointeur NULL.
Il pourrait se produire lors de la réalisation d'une opération de
désérialisation d'un vecteur d'entrées et sorties dans la routine
v9fs_iov_vunmarshal().</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8669";>CVE-2016-8669</a>

<p>Quick Emulator (Qemu) construit avec la prise en charge de l'émulation
de 16550A UART est vulnérable à un problème de division par zéro. Il
pourrait se produire lors de la mise à jour de paramètres de périphériques
série dans <q>serial_update_parameters</q>.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u17.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-678.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les bibliothèques de Network Security Service (NSS) utilisaient les
variables d'environnement pour configurer beaucoup de choses dont certaines
se réfèrent à des emplacements du système de fichiers. D'autres peuvent
dégrader le fonctionnement de NSS de diverses manières, en imposant des
modes de compatibilité, etc.</p>

<p>Précédemment, ces variables d'environnement n'étaient pas ignorées des
binaires s'exécutant avec les droits de leur utilisateur. Cette version de
NetScape Portable Runtime Library (NSPR) introduit une nouvelle API,
PR_GetEnVSecure, pour traiter cela.</p>

<p>À la fois NSPR et NSS doivent être mis à niveau pour traiter ce
problème.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.26-1+debu7u1 de NSS.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nss.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-677.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les bibliothèques de Network Security Service (NSS) utilisaient les
variables d'environnement pour configurer beaucoup de choses dont certaines
se réfèrent à des emplacements du système de fichiers. D'autres peuvent
dégrader le fonctionnement de NSS de diverses manières, en imposant des
modes de compatibilité, etc.</p>

<p>Précédemment, ces variables d'environnement n'étaient pas ignorées des
binaires s'exécutant avec les droits de leur utilisateur. Cette version de
NetScape Portable Runtime Library (NSPR) introduit une nouvelle API,
PR_GetEnVSecure, pour traiter cela.</p>

<p>À la fois NSPR et NSS doivent être mis à niveau pour traiter ce
problème.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.12-1+deb7u1 de NSPR.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nspr.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-676.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans potrace.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7437";>CVE-2013-7437</a>

<p>Plusieurs dépassements d'entiers dans potrace 1.11 permettent à des
attaquants distants de provoquer un déni de service (plantage) au moyen de
trop grandes dimensions dans une image BMP qui déclenche un dépassement de
tampon. Ce bogue a été signalé par Murray McAllister de l'équipe de
sécurité de Red Hat.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8694";>CVE-2016-8694</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8695";>CVE-2016-8695</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8696";>CVE-2016-8696</a>

<p>Plusieurs déréférencements de pointeur NULL dans bm_readbody_bmp. Ce
bogue a été découvert par Agostino Sarubbo de Gentoo.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8697";>CVE-2016-8697</a>

<p>Division par zéro dans bm_new. Ce bogue a été découvert par Agostino
Sarubbo de Gentoo.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8698";>CVE-2016-8698</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8699";>CVE-2016-8699</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8700";>CVE-2016-8700</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8701";>CVE-2016-8701</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8702";>CVE-2016-8702</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8703";>CVE-2016-8703</a>

<p>Plusieurs dépassements de tas dans bm_readbody_bmp. Ce bogue a été
découvert par Agostino Sarubbo de Gentoo.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.10-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets potrace.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-675.data"
# $Id: $

#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>La mise à jour pour ghostscript publiée avec la DLA-674-1 provoquait des
régressions pour certains lecteurs de documents Postscript (evince,
zathura). Des paquets mis à jour sont maintenant disponibles pour traiter
ce problème. Pour référence, le texte de l'annonce d'origine suit.</p>

<p>Plusieurs vulnérabilités ont été découvertes dans Ghostscript,
l'interpréteur PostScript et PDF sous GPL. Cela peut conduire à l'exécution
de code arbitraire ou à la divulgation d'informations lors du traitement
d'un fichier Postscript contrefait pour l'occasion.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 9.05~dfsg-6.3+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ghostscript.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-674-2.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Ghostscript,
l'interpréteur PostScript et PDF sous GPL. Cela peut conduire à l'exécution
de code arbitraire ou à la divulgation d'informations lors du traitement
d'un fichier Postscript contrefait pour l'occasion.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 9.05~dfsg-6.3+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ghostscript.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-674.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Roland Tapken a découvert qu’une vérification insuffisante d'entrées
dans le lecteur de texte brut de KMail permettait l'injection de code HTML.
Cela peut ouvrir la voie à l'exploitation d'autres vulnérabilités dans le
code du lecteur HTML, ce qui est désactivé par défaut.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4:4.8.4-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets kdepimlibs.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-673.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2848";>CVE-2016-2848</a>

<p>Un serveur vulnérable à ce défaut peut être forcé à se terminer avec un
échec d'assertion lors de la réception d'un paquet mal formé. Les serveurs
faisant autorité et les serveurs récursifs sont vulnérables les uns et les
autres .</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:9.8.4.dfsg.P1-6+nmu2+deb7u12.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bind9.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-672.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7953";>CVE-2016-7953</a>

<p>Lors de la réception d'une chaîne vide émise par un serveur X, pas de
sous-exécution de tampon en accédant de façon inconditionnelle à
« rep.nameLen - 1 », ce qui pourrait finir par être -1.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2:1.0.7-1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxvmc.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-671.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une augmentation de droits, un déni de service ou à
des fuites d'informations.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8956";>CVE-2015-8956</a>

<p>L'absence de vérification des entrées dans le traitement de sockets
RFCOMM Bluetooth peut avoir pour conséquence un déni de service ou une
fuite d'informations.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5195";>CVE-2016-5195</a>

<p>Une situation de compétition dans le code de gestion de mémoire peut
être utilisée pour une augmentation de droits locale. Cela n'affecte pas
les noyaux construits avec PREEMPT_RT activé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7042";>CVE-2016-7042</a>

<p>Ondrej Kozina a découvert qu'une allocation de tampon incorrecte dans la
fonction proc_keys_show() peut avoir pour conséquence un déni de service
local.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7425";>CVE-2016-7425</a>

<p>Marco Grassi a découvert un dépassement de tampon dans le pilote SCSI
arcmsr qui peut avoir pour conséquence un déni de service local, ou
éventuellement, l'exécution de code arbitraire.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.2.82-1. Cette version inclut aussi des correctifs de bogue issus
de la version amont 3.2.82 et des mises à jour de l'ensemble de fonctions
PREEMPT_RT vers la version 3.2.82-rt119.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans la
version 3.16.36-1+deb8u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-670.data"
# $Id: $