[LCFC] wml://lts/security/2016/dla-68{0,0-2,1,2,3,4,5,5-2,6,7,8,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

Le 19/01/2020 à 13:34, daniel.malgorn@laposte.net a écrit :
> Bonjour,
>
> ti' détails....
>
> amicalement.
>
> On 18/01/2020 18:26, Jean-Pierre Giraud wrote:
>> Bonjour,
>>
>> Le 18/01/2020 à 02:01, Grégoire Scano a écrit :
>>> Bonjour,
>>>
>>> On 1/18/20 7:57 AM, Jean-Pierre Giraud wrote:
>>>> quelques anciennes annonces de sécurité de plus.
>>>>
>>>> Les textes en anglais sont ici :
>>>>
>>>> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-68x.wml
>>> une suggestion.
>>>
>>> Bien cordialement,
>>> Grégoire
>> C'est corrige. De nouvelles relectures ?

Passage en LCFC. Textes inchangés depuis le RFR, sauf le DLA 680 avec la
correction de Daniel.

Merci d'avance pour vos ultimes relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un ancien vecteur d'attaque a été corrigé dans bash, un interpréteur de
langage de commande compatible avec sh.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7543";>CVE-2016-7543</a>

<p>Des variables d'environnement SHELLOPTS+PS4 contrefaites pour l'occasion
en combinaison avec des binaires setuid non sûrs peuvent avoir pour
conséquence une possible élévation de privilèges à ceux du
superutilisateur.</p>

<p>Le binaire setuid doit à la fois utiliser l'appel de fonction setuid()
et l'appel de fonction system() ou popen(). Avec cette combinaison, il est
possible d'accéder aux droits administrateurs.</p>

<p>En complément, bash doit être l'interpréteur de commande par défaut
(/bin/sh doit pointer vers bash) pour que le système soit vulnérable.</p>

<p>L'interpréteur de commande par défaut dans Debian est dash et il n'y a
pas de binaire setuid connu dans Debian avec la combinaison non sûre
décrite ci-dessus.</p>

<p>Il pourrait néanmoins y avoir des logiciels locaux, avec la combinaison
non sûre décrite ci-dessus, qui pourraient bénéficier de cette correction.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans version
4.2+dfsg-0.1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bash.</p>

<p>S'il y a des logiciels locaux qui ont cette combinaison non sûre et qui
appliquent un setuid() à d'autres utilisateurs que le superutilisateur,
alors, cette mise à jour ne corrigera pas le problème. Il devra être traité
dans le binaire setuid non sûr.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-680.data"
# $Id: $