[RFR] wml://lts/security/2016/dla-68{0,0-2,1,2,3,4,5,5-2,6,7,8,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-68x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution
complète de virtualisation sur les machines x86 basée sur Quick Emulator
(Qemu). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie
les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7909";>CVE-2016-7909</a>

<p>Quick Emulator(Qemu) construit avec la prise en charge de l'émulateur
PC-Net II d'AMD est vulnérable à un problème de boucle infinie. Il pourrait
survenir lors de la réception de paquets à l'aide de pcnet_receive().</p>

<p>Un utilisateur ou un processus privilégié dans un client pourrait
utiliser ce problème pour planter le processus de Qemu sur l'hôte menant à
un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8909";>CVE-2016-8909</a>

<p>Quick Emulator(Qemu) construit avec la prise en charge de l'émulation du
contrôleur HDA d'Intel est vulnérable à un problème de boucle infinie. Il
pourrait survenir lors du traitement du flux de tampons DMA lors du
transfert de données dans <q>intel_hda_xfer</q>.</p>

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour consommer un nombre excessif de cycles de processeur sur l'hôte, avec
pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8910";>CVE-2016-8910</a>

<p>Quick Emulator(Qemu) construit avec la prise en charge de l'émulation du
contrôleur ethernet RTL8139 est vulnérable à un problème de boucle infinie.
Il pourrait survenir lors de la transmission de paquets dans le mode
d'opération C+.</p>

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour consommer un nombre excessif de cycles de processeur sur l'hôte, avec
pour conséquence une situation de déni de service.</p></li>

</ul>

<p>Autres problèmes corrigés dont les requêtes CVE sont en attente :</p>

<ul>

<li>Quick Emulator(Qemu) construit avec la prise en charge de l'émulation
NIC i8255x (PRO100) est vulnérable à un problème de fuite de mémoire. Il
pourrait survenir lors de la déconnexion du périphérique, et, en le faisant
à de très nombreuses reprises, cela pourrait avoir pour conséquence la
divulgation de la mémoire de l'hôte, affectant d'autres services sur
l'hôte.

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour provoquer un déni de service sur l'hôte ou éventuellement le plantage
du processus de Qemu sur l'hôte.</p></li>

<li>Quick Emulator(Qemu) construit avec le système de fichiers VirtFS,
partageant un répertoire de l'hôte au moyen de la prise en charge du
système de fichiers de Plan 9 (9pfs), est vulnérable à plusieurs problèmes
de fuite de mémoire.

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour divulguer des octets de la mémoire de l'hôte avec pour conséquence un
déni de service pour d'autres services.</p></li>

<li>Quick Emulator(Qemu) construit avec le système de fichiers VirtFS,
partageant un répertoire de l'hôte au moyen de la prise en charge du
système de fichiers de Plan 9 (9pfs), est vulnérable à un problème de
dépassement d'entier. Il pourrait survenir en accédant à des valeurs de
xattributes.

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour planter l'instance du processus de Qemu avec pour conséquence un déni
de service.</p></li>

<li>Quick Emulator(Qemu)  construit avec le système de fichiers VirtFS,
partageant un répertoire de l'hôte au moyen de la prise en charge du
système de fichiers de Plan 9 (9pfs), est vulnérable à un problème de fuite
de mémoire. Il pourrait survenir lors de la création d'attributs étendus
à l'aide d'un message <q>Txattrcreate</q>.

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour divulguer la mémoire de l'hôte, affectant ainsi d'autres services sur
l'hôte ou éventuellement en plantant le processus de Qemu sur l'hôte.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u18.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-689.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une attaque possible par déni de service dans Cairo, une
bibliothèque multiplateforme de rendu d'images vectorielles. Un fichier SVG
pourrait générer des pointeurs non valables à partir de
_cairo_image_surface vers write_png.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans cairo
version 1.12.2-3+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets cairo.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-688.data"
# $Id: $

#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans le paquet tre qui pourrait
permettre à un attaquant de réaliser une corruption de tas contrôlée.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.8.0-3+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tre.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-687.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tobias Stoeckmann du projet OpenBSD a découvert la vulnérabilité
suivante dans libXtst, l'extension X Record :</p>

<p>Une validation insuffisante de données provenant du serveur X peut
provoquer un accès mémoire hors limites ou des boucles infinies (déni de
service).</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2:1.2.1-1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxtst.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-686.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une régression a été découverte dans la dernière mise à jour de libxi.
Un pointeur non initialisé pourrait être libéré, provoquant des plantages.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2:1.6.1-1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxi.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-685-2.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tobias Stoeckmann du projet OpenBSD a découvert la vulnérabilité
suivante dans libXi, la bibliothèque d'extension Input X11 :</p>

<p>Une validation insuffisante de données provenant du serveur X peut
provoquer un accès mémoire hors limites ou des boucles infinies (déni de
service).</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2:1.6.1-1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxi.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-685.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tobias Stoeckmann du projet OpenBSD a découvert la vulnérabilité
suivante dans libX11, la bibliothèque X11 côté client :</p>

<p>Une validation insuffisante de données provenant du serveur X peut
provoquer une lecture mémoire (XGetImage()) ou une écriture mémoire
(XListFonts()) hors limites.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2:1.5.0-1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libx11.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-684.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le paquet
graphicsmagick qui pourraient conduire à un déni de service au moyen
d'échecs d'assertion et d'utilisation de processeur ou de mémoire.
Certaines vulnérabilités peuvent aussi mener à l'exécution de code mais
aucune exploitation n'est connue à ce jour.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7448";>CVE-2016-7448</a>

<p>Utah RLE : rejet de fichiers tronqués ou aberrants qui provoquent des
allocations énormes de mémoire ou une consommation excessive de processeur </p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7996";>CVE-2016-7996</a>

<p>absence de vérification que la table de correspondance de couleur
fournie ne contenait pas plus de 256 entrées avec pour conséquence un
potentiel dépassement de tas</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7997";>CVE-2016-7997</a>

<p>déni de service à l'aide d'un plantage dû à une assertion</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8682";>CVE-2016-8682</a>

<p>dépassement de pile dans ReadSCTImage (sct.c)</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8683";>CVE-2016-8683</a>

<p>échec d'allocation de mémoire dans ReadPCXImage (pcx.c)</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8684";>CVE-2016-8684</a>

<p>échec d'allocation de mémoire dans MagickMalloc (memory.c)</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.3.16-1.1+deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-683.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour inclut les modifications de tzdata jusqu'à la
version 2016h pour les liaisons Perl. Pour la liste des modifications,
consultez la DLA-681-1.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:1.58-1+2016h.</p>

<p>Nous vous recommandons de mettre à jour vos paquets
libdatetime-timezone-perl.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-682.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour inclut les modifications de tzdata jusqu'à la
version 2016h. Les modifications notables sont les suivantes :</p>

<ul>
<li>Gaza, Asie et Hébron Asie, fin de l'heure d'été le 29-10-2016 à 01:00,
et non le 21-10-2016 à 00:00 ;</li>
<li>Istanbul est passée de EET/EEST (+02/+03) à +03 de façon permanente le
07-09-2016. Dans la mesure où le fuseau horaire a changé, la divergence
avec EET/EEST aura lieu le 30-10-2016 ;</li>
<li>la Turquie est passée de EET/EEST (+02/+03) à +03 de façon permanente
le 7-09-2016 ;</li>
<li>nouvelle correction de la seconde intercalaire à 23:59:60 UTC le
31-12-2016 selon le Bulletin C 52 de l'IERS.</li>
</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2016h-0+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tzdata.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-681.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette DLA est une correction de DLA 680-1 qui mentionnait que
bash 4.2+dfsg-0.1+deb7u3 était corrigé. La version du paquet corrigé
était 4.2+dfsg-0.1+deb7u4.</p>

<p>Pour être complet, le texte de la DLA 680-1 est disponible ci-dessous
avec uniquement la correction des informations de version, sans autre
modification.</p>

<p>Un ancien vecteur d'attaque a été corrigé dans bash, un interpréteur de
langage de commande compatible à sh.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7543";>CVE-2016-7543</a>

<p>Variables d'environnement SHELLOPTS+PS4 contrefaites pour l'occasion
en combinaison avec des binaires setuid non sûrs.</p>

<p>Le binaire setuid doit à la fois utiliser l'appel de fonction setuid()
et l'appel de fonction system() ou popen(). Avec cette combinaison, il est
possible d'accéder aux droits administrateurs.</p>

<p>En complément, bash doit être l'interpréteur de commande par défaut
(/bin/sh doit pointer vers bash) pour que le système soit vulnérable.</p>

<p>L'interpréteur de commande par défaut dans Debian est dash et il n'y a
pas de binaire setuid connu dans Debian avec la combinaison non sure
décrite ci-dessus.</p>

<p>Il pourrait néanmoins y avoir des logiciels locaux, avec la combinaison
non sure décrite ci-dessus, qui pourraient bénéficier de cette correction.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans version
4.2+dfsg-0.1+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bash.</p>

<p>S'il y a des logiciels locaux qui ont cette combinaison non sure et qui
appliquent un setuid() à d'autres utilisateurs que le superutilisateur,
alors, cette mise à jour ne corrigera pas le problème. Il devra être traité
dans le binaire setuid non sûr.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-680-2.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un ancien vecteur d'attaque a été corrigé dans bash, un interpréteur de
langage de commande compatible à sh.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7543";>CVE-2016-7543</a>

<p>Des variables d'environnement SHELLOPTS+PS4 contrefaites pour l'occasion
en combinaison avec des binaires setuid non sûrs peuvent avoir pour
conséquence une possible élévation de privilèges à ceux du
superutilisateur.</p>

<p>Le binaire setuid doit à la fois utiliser l'appel de fonction setuid()
et l'appel de fonction system() ou popen(). Avec cette combinaison, il est
possible d'accéder aux droits administrateurs.</p>

<p>En complément, bash doit être l'interpréteur de commande par défaut
(/bin/sh doit pointer vers bash) pour que le système soit vulnérable.</p>

<p>L'interpréteur de commande par défaut dans Debian est dash et il n'y a
pas de binaire setuid connu dans Debian avec la combinaison non sure
décrite ci-dessus.</p>

<p>Il pourrait néanmoins y avoir des logiciels locaux, avec la combinaison
non sure décrite ci-dessus, qui pourraient bénéficier de cette correction.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans version
4.2+dfsg-0.1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bash.</p>

<p>S'il y a des logiciels locaux qui ont cette combinaison non sure et qui
appliquent un setuid() à d'autres utilisateurs que le superutilisateur,
alors, cette mise à jour ne corrigera pas le problème. Il devra être traité
dans le binaire setuid non sûr.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-680.data"
# $Id: $