[RFR] wml://security/2016/dsa-34{38,40,41}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>David Golden de MongoDB a découvert que File::Spec::canonpath() dans
Perl renvoyait des chaînes non souillées même si des entrées souillées
étaient passées. Ce défaut ruine la propagation de l'étiquette souillée qui
est parfois utilisée pour s'assurer que des entrées d'utilisateur non
validées n'atteignent pas du code sensible.</p>

<p>La distribution oldstable (Wheezy) n'est pas concernée par ce problème.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.20.2-3+deb8u2.</p>

<p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p>

<p>Nous vous recommandons de mettre à jour vos paquets perl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3441.data"
# $Id: dsa-3441.wml,v 1.1 2016/01/11 23:11:07 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Quand sudo est configuré pour permettre à un utilisateur d'éditer des
fichiers dans un répertoire où il peut déjà écrire sans utiliser sudo, il
peut en réalité éditer (lire et écrire) des fichiers arbitraires. Daniel
Svartman a signalé qu'une configuration telle que celle-ci pourrait être
introduite involontairement si les fichiers à éditer sont indiqués avec
l'utilisation de caractères de remplacement, par exemple :</p>

<pre>operator ALL=(root) sudoedit /home/*/*/test.txt</pre>

<p>Le comportement par défaut de sudo a été modifié de telle manière qu'il
ne permet pas d'éditer un fichier dans un répertoire où l'utilisateur peut
écrire, ou qui est atteint en suivant un lien symbolique dans un répertoire
où l'utilisateur peut écrire. Ces restrictions peuvent être désactivées,
mais cela est fortement déconseillé.</p>

<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.8.5p2-1+nmu3+deb7u1.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.8.10p3-1+deb8u3.</p>

<p>Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 1.8.15-1.1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.8.15-1.1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets sudo.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3440.data"
# $Id: dsa-3440.wml,v 1.1 2016/01/11 22:53:49 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>La déconnexion d'un des moniteurs dans une configuration multi-moniteurs
peut faire planter xscreensaver. Une personne ayant un accès physique à la
machine pourrait utiliser ce problème pour contourner un verrouillage de
session.</p>

<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 5.15-3+deb7u1.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.30-1+deb8u1.</p>

<p>Pour la distribution testing (Stretch) et la distribution unstable (Sid), ce problème a été corrigé dans la version 5.34-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xscreensaver.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3438.data"
# $Id: dsa-3438.wml,v 1.1 2016/01/11 21:02:38 jipege1-guest Exp $