[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2016/dla-72{0,1,2,3,4,5,6,7,8,9}.wml

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-72x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege


#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet
Tomcat et le moteur JSP qui pourraient avoir pour conséquence de possibles
attaques temporelles pour déterminer des noms d'utilisateurs valables, le
contournement du gestionnaire de sécurité, la divulgation de propriétés du
système, un accès non restreint aux ressources globales, l'écrasement de
fichiers arbitraires et éventuellement une élévation de privilèges.</p>

<p>En complément, cette mise à jour renforce encore les scripts de
démarrage et du responsable de Tomcat pour empêcher de possibles élévations
de privilèges. Merci à Paul Szabo pour le rapport.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 7.0.28-4+deb7u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-729.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans la servlet
Tomcat et le moteur JSP qui pourraient avoir pour conséquence de possibles
attaques temporelles pour déterminer des noms d'utilisateurs valables, le
contournement du gestionnaire de sécurité, la divulgation de propriétés du
système, un accès non restreint aux ressources globales, l'écrasement de
fichiers arbitraires et éventuellement une élévation de privilèges.</p>

<p>En complément, cette mise à jour renforce encore les scripts de
démarrage et du responsable de Tomcat pour empêcher de possibles élévations
de privilèges. Merci à Paul Szabo pour le rapport.</p>

<p>Il s'agit probablement de la dernière mise à jour de sécurité de
Tomcat 6 qui atteindra sa fin de vie dans un mois exactement. Nous
recommandons fortement de passer à une autre version prise en charge telle
que Tomcat 7 dès que possible.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 6.0.45+dfsg-1~deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tomcat6.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-728.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Chris Evans a découvert que le greffon de GStreamer 0.10 utilisé pour
décoder les fichiers au format FLIC permettait l'exécution de code
arbitraire. Davantage de détails peuvent être trouvés dans cette alerte à
l'adresse
<a href="https://scarybeastsecurity.blogspot.de/2016/11/0day-exploit-advancing-exploitation.html";>\
https://scarybeastsecurity.blogspot.de/2016/11/0day-exploit-advancing-exploitation.html</a>.</p>

<p>Cette mise à jour supprime le greffon du format de fichier FLIC non sûr.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.10.31-3+nmu1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets
gst-plugins-good0.10.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-727.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour inclut les modifications de tzdata 2016j pour les
liaisons Perl. Pour la liste des modifications, consultez la DLA-725-1.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:1.58-1+2016j.</p>

<p>Nous vous recommandons de mettre à jour vos paquets
libdatetime-timezone-perl.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-726.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour inclut les modifications de tzdata dans la
version 2016j. Les modifications notables sont les suivantes :</p>

<ul>
<li>Saratov, Russie, est passé de +03 à +04 le 04-12-2016 à 02:00.</li>
</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2016j-0+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tzdata.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-725.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une attaque de type <q>roster push</q> [0] dans mcabber, un
client Jabber (XMPP) en console.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans mcabber
version 0.10.1-3+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mcabber.</p>

<p>[0] <a href="https://gultsch.de/gajim_roster_push_and_message_interception.html";>https://gultsch.de/gajim_roster_push_and_message_interception.html</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-724.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité d'expansion d'entités XML appelée
<q>Billion Laughs</q> [0] dans libsoap-lite-perl, une implémentation en
Perl du client et du serveur SOAP [1].</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans
libsoap-lite-perl version 0.714-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libsoap-lite-perl.</p>

<p>[0] <a href="https://en.wikipedia.org/wiki/Billion_laughs";>https://en.wikipedia.org/wiki/Billion_laughs</a><br>
[1] <a href="https://en.wikipedia.org/wiki/SOAP";>https://en.wikipedia.org/wiki/SOAP</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-723.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de divulgation d'informations a été découverte dans
irssi.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7553";>CVE-2016-7553</a>

<p>Les autres utilisateurs de la même machine que l'utilisateur exécutant
irssi avec buf.pl chargé peuvent être capables de récupérer la totalité du
contenu des fenêtres après /UPGRADE. En outre, ce vidage du contenu des
fenêtres n'est jamais supprimé ensuite.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.8.15-5+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets irssi.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-722.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>libgc est vulnérable à des dépassements d'entier dans de multiples
emplacements. Dans certains cas, lorsque libgc est sollicité pour allouer
une énorme quantité de mémoire, plutôt que de faire échouer la requête, il
renvoie un pointeur vers une petite quantité de mémoire piégeant
éventuellement l'application dans un écrasement de tampon.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:7.1-9.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libgc.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-721.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen. Le
projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9379";>CVE-2016-9379</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9380";>CVE-2016-9380</a> (XSA-198)

<p>pygrub, l'émulateur de chargeur de démarrage, échouait à évaluer ou
vérifier la sécurité de ses résultats lors de leur rapport à l'appelant. Un
administrateur client malveillant peut obtenir le contenu de fichiers
sensibles de l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9381";>CVE-2016-9381</a> (XSA-197)

<p>Le compilateur peut émettre des optimisations dans qemu qui peuvent
conduire à des vulnérabilités de type <q>double fetch</q>. Des
administrateurs malveillants peuvent exploiter cette vulnérabilité pour
prendre le contrôle du processus de qemu, en élevant ses privilèges à celui
du processus de qemu.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9382";>CVE-2016-9382</a> (XSA-192)

<p>Le LDTR, exactement comme le TR, est strictement une fonctionnalité en
mode protégé. Par conséquent, lors d'un passage vers le mode VM86, le
chargement du LDTR doit suivre la sémantique du mode protégé. Un processus
client non privilégié malveillant peut planter ou élever ses privilèges à
ceux du système d'exploitation client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9383";>CVE-2016-9383</a> (XSA-195)

<p>Quand Xen a besoin d'émuler certaines instructions, pour gérer de façon
efficace l'émulation, l'adresse mémoire et l'opérande du registre sont
recalculés en interne par Xen. Durant ce processus, les bits d'ordre
supérieur d'une expression intermédiaire sont éliminés, aboutissant à ce
qu'à la fois l'emplacement mémoire et l'opérande du registre sont faux. Un
client malveillant peut modifier un emplacement mémoire arbitraire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9386";>CVE-2016-9386</a> (XSA-191)

<p>L'émulateur Xen x86 échouait de façon erronée à considérer comme
inutilisables des segments lors des accès mémoire. Un programme utilisateur
client non privilégié peut être capable d'élever ses droits à ceux du
système d'exploitation hôte.</p>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.1.6.lts1-4. Pour Debian 8 <q>Jessie</q>, ces problèmes seront
corrigés bientôt.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xen.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-720.data"
# $Id: $
Reply to: