Bonjour, On 23/02/2016 10:48, vauss@free.fr wrote: > concernant la DSA-3482, suggestion de remplacer « que libreoffice » > par « que LibreOffice ». Corrigé, merci Damien. On 23/02/2016 21:51, Baptiste Jammet wrote: > Correction sur 3480 et 3481. Attention au *e*glibc qui traîne dans la > dsa concernant glibc. Pris en flagrant délit de copier-coller. :) Merci Baptiste. Amicalement, Thomas
#use wml::debian::translation-check translation="1.3" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été corrigées dans eglibc, la bibliothèque C de GNU.</p> <p>L'impact de la vulnérabilité <a href="https://security-tracker.debian.org/tracker/CVE-2015-7547">CVE-2015-7547</a> listée ci-dessous est considéré comme critique.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8121">CVE-2014-8121</a> <p>Robin Hack a découvert que la base de données nss_files n'implémentait pas correctement l'énumération insérée avec les recherches basées sur les noms ou les ID. Cela pourrait faire entrer l'énumération dans une boucle infinie et mener à un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1781">CVE-2015-1781</a> <p>Arjun Shankar a découvert que les variantes _r des fonctions de résolution de noms d'hôte (comme gethostbyname_r), lors de la résolution de noms DNS, souffraient d'un dépassement de tampon si un tampon mal aligné était fourni par les applications, menant à un plantage ou, éventuellement, à l'exécution de code arbitraire. La plupart des applications ne sont pas affectées par cette vulnérabilité car elles utilisent des tampons alignés.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7547">CVE-2015-7547</a> <p>L'équipe de sécurité de Google et Red Hat ont découvert que la fonction eglibc de résolution de noms d'hôte, getaddrinfo, lors du traitement de requêtes AF_UNSPEC (pour les recherches duales A/AAAA), pourrait mal gérer ses tampons internes, menant à un dépassement de pile et à l'exécution de code arbitraire. Cette vulnérabilité affecte la plupart des applications réalisant la résolution de noms d'hôte avec getaddrinfo, dont les services système.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8776">CVE-2015-8776</a> <p>Adam Nielsen a découvert que si une valeur séparée de temps non valable était passée à strftime, alors la fonction strftime pourrait planter ou divulguer des informations. Les applications ne donnent normalement que des informations de temps valables à strftime ; aucune application connue n'est affectée.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8777">CVE-2015-8777</a> <p>Hector Marco-Gisbert a signalé que LD_POINTER_GUARD n'était pas ignoré pour les programmes SUID, ce qui permet un contournement imprévu d'une fonctionnalité de sécurité. Cette mise à jour fait qu'eglibc ignore toujours la variable d'environnement LD_POINTER_GUARD.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8778">CVE-2015-8778</a> <p>Szabolcs Nagy a signalé que les fonctions rarement utilisées hcreate et hcreate_r ne vérifiaient pas correctement l'argument de taille, menant à un plantage (déni de service) pour certains arguments. Aucune application affectée n'est connue à l'heure actuelle.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8779">CVE-2015-8779</a> <p>La fonction catopen contient plusieurs allocations de pile non liées (dépassements), provoquant un plantage du processus (déni de service). Aucune application pour laquelle ce problème a un impact de sécurité n'est actuellement connue.</p></li> </ul> <p>Les vulnérabilités suivantes ont été corrigées mais n'ont pas encore d'identifiant CVE :</p> <ul> <li><p>Joseph Myers a signalé qu'un dépassement d'entier dans la fonction strxfrm peut conduire à un dépassement de tampon basé sur le tas, permettant éventuellement l'exécution de code arbitraire. De plus, un chemin de secours dans strxfrm utilise une allocation de pile non liée (dépassement de pile), menant à un plantage ou à un comportement erroné de l'application.</p></li> <li><p>Kostya Serebryany a signalé que la fonction fnmatch pourrait ignorer le caractère NUL de fin d'un motif mal formé, causant un plantage dans une application appelant fnmatch (déni de service).</p></li> <li><p>Joseph Myers a signalé que la fonction IO_wstr_overflow, utilisée en interne par les flux de caractères <q>wide-oriented</q>, souffrait d'un dépassement d'entier, menant à un dépassement de tas. Sur les systèmes GNU/Linux, les flux de caractères <q>wide-oriented</q> sont rarement utilisés et aucune application affectée n'est connue.</p></li> <li><p>Andreas Schwab a signalé une fuite de mémoire (allocation de mémoire sans libération correspondante) lors du traitement de certaines réponses DNS dans getaddrinfo, lié à la fonction _nss_dns_gethostbyname4_r. Cette vulnérabilité pourrait conduire à un déni de service.</p></li> </ul> <p>Bien qu'il soit seulement nécessaire dâ??être sûr que plus aucun processus n'utilise l'ancienne eglibc, il est recommandé de redémarrer les machines après l'application de la mise à niveau de sécurité.</p> <p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 2.13-38+deb7u10.</p> <p>Nous vous recommandons de mettre à jour vos paquets eglibc.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3480.data" # $Id: dsa-3480.wml,v 1.3 2016/02/23 22:59:28 tvincent Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été corrigées dans glibc, la bibliothèque C de GNU.</p> <p>L'impact de la première vulnérabilité listée ci-dessous est considéré comme critique.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7547">CVE-2015-7547</a> <p>L'équipe de sécurité de Google et Red Hat ont découvert que la fonction eglibc de résolution de noms d'hôte, getaddrinfo, lors du traitement de requêtes AF_UNSPEC (pour les recherches duales A/AAAA), pourrait mal gérer ses tampons internes, menant à un dépassement de pile et à l'exécution de code arbitraire. Cette vulnérabilité affecte la plupart des applications réalisant la résolution de noms d'hôte avec getaddrinfo, dont les services système.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8776">CVE-2015-8776</a> <p>Adam Nielsen a découvert que si une valeur séparée de temps non valable était passée à strftime, alors la fonction strftime pourrait planter ou divulguer des informations. Les applications ne donnent normalement que des informations de temps valables à strftime ; aucune application connue n'est affectée.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8778">CVE-2015-8778</a> <p>Szabolcs Nagy a signalé que les fonctions rarement utilisées hcreate et hcreate_r ne vérifiaient pas correctement l'argument de taille, menant à un plantage (déni de service) pour certains arguments. Aucune application affectée n'est connue à l'heure actuelle.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8779">CVE-2015-8779</a> <p>La fonction catopen contient plusieurs allocations de pile non liées (dépassements), provoquant un plantage du processus (déni de service). Aucune application pour laquelle ce problème a un impact de sécurité n'est actuellement connue.</p></li> </ul> <p>Bien qu'il soit seulement nécessaire dâ??être sûr que plus aucun processus n'utilise l'ancienne glibc, il est recommandé de redémarrer les machines après l'application de la mise à niveau de sécurité.</p> <p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.19-18+deb8u3.</p> <p>Pour la distribution unstable (Sid), ces problèmes seront corrigés dans la version 2.21-8.</p> <p>Nous vous recommandons de mettre à jour vos paquets glibc.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3481.data" # $Id: dsa-3481.wml,v 1.3 2016/02/23 22:59:28 tvincent Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Thomas Vincent" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Un contributeur anonyme travaillant avec VeriSign iDefense Labs a découvert que LibreOffice, une suite de productivité riche en fonctionnalités, ne gérait pas correctement les fichiers Lotus WordPro. Cela permettrait à un attaquant de planter le programme ou d'exécuter du code arbitraire en fournissant un fichier LWP contrefait pour l'occasion.</p> <p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1:3.5.4+dfsg2-0+deb7u6.</p> <p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1:4.3.3-2+deb8u3.</p> <p>Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:5.0.5~rc1-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libreoffice.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3482.data" # $Id: dsa-3482.wml,v 1.3 2016/02/23 23:00:34 tvincent Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature