[RFR] wml ://security/2016/dsa-350{0,1,2,3}.wml
Bonjour,
voici des propositions de traduction.
Merci d'avance pour vos relectures.
Amicalement.
--
Jean-Paul
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans OpenSSL, une
boîte à outils SSL (Secure Socket Layer).</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0702">CVE-2016-0702</a>
<p>Yuval Yarom de l'université d'Adélaïde et de NICTA, Daniel Genkin
de Technion et de l'université de Tel Aviv et Nadia Heninger de
l'université de Pennsylvanie ont découvert une attaque par canal
auxiliaire, pouvant utiliser des conflits de banque de cache dans la
microarchitecture d'Intel Sandy-Bridge. Cela pourrait permettre à des
attaquants locaux de récupérer des clefs privées RSA.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0705">CVE-2016-0705</a>
<p>Adam Langley de Google a découvert un bogue de double appel de free lors
de l'analyse de clefs privées DSA malformées. Cela pourrait permettre à des
attaquants distants de provoquer un déni de service ou une corruption de
mémoire dans les applications analysant les clefs privées DSA, reçues de
sources non fiables.
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0797">CVE-2016-0797</a>
<p>Guido Vranken a découvert un dépassement d'entier dans les fonctions
BN_hex2bn et BN_dec2bn, pouvant conduire à un déréférencement de pointeur
NULL et une corruption de tas. Cela pourrait permettre à des attaquants
distants de provoquer un déni de service ou une corruption de mémoire dans
les applications traitant des données hexadécimales ou décimales reçues de
sources non fiables.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0798">CVE-2016-0798</a>
<p>Emilia Käsper de l'équipe de développement d'OpenSSL a découvert une
fuite de mémoire dans le code de consultation de la base de données SRP.
Pour réduire cette fuite, la gestion de la semence dans
SRP_VBASE_get_by_user est dorénavant désactivée, même si l'utilisateur Ã
configuré une semence. Les applications sont avisées de migrer vers la
fonction SRP_VBASE_get1_by_user.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0799">CVE-2016-0799</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2842">CVE-2016-2842</a>
<p>Guido Vranken a découvert un dépassement d'entier dans les fonctions
BIO_*printf, pouvant conduire à une lecture hors limites lors de
l'impression de très longues chaines. De plus, la fonction interne
doapr_outch peut tenter d'écrire dans un emplacement mémoire arbitraire
dans le cas d'un échec d'allocation mémoire. Ces problèmes n'arriveront
seulement que sur les plateformes où sizeof(size_t) > sizeof(int), comme
la plupart des systèmes 64 bits. Cela pourrait permettre à des attaquants
distants de provoquer un déni de service ou une corruption de mémoire dans
les applications qui passent de larges montants de données non fiables aux
fonctions BIO_*printf.</p></li>
</ul>
<p>De plus, les chiffrements EXPORT et LOW étaient désactivés parce que pouvant
participer aux attaques DROWN
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-0800">CVE-2016-0800</a>)
et SLOTH
(<a href="https://security-tracker.debian.org/tracker/CVE-2015-7575">CVE-2015-7575</a>),
mais remarquez que les distributions oldstable (Wheezy) et stable (Jessie) ne
sont pas affectées par ces attaques, puisque le protocole SSLv2 a déjà été
retiré dans le paquet openssl version 1.0.0c-2.</p>
<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.0.1e-2+deb7u20.</p>
<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigé dans la version 1.0.1k-3+deb8u4.</p>
<p>Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3500.data"
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Stephane Chazelas a découvert un bogue dans la gestion de l'environnement
dans Perl. Ce dernier fournit une variable de hachage dans l'espace Perl, %ENV,
dans lequel les variables d'environnement peuvent être recherchées. Si une
variable apparait deux fois dans envp, seule la dernière valeur apparaitra
dans %ENV, mais getenv devrait renvoyer la première. Le mécanisme de sécurité
de Perl pour éviter la contamination serait appliqué pour la valeur dans %ENV,
mais pas dans le reste de l'environnement. Cela pourrait conduire à un
environnement ambigu, permettant aux variables d'environnement d'être propagées
aux sous-processus, en dépit des protections supposément offertes par le
dispositif anti-contamination (taint checking).</p>
<p>Avec cette mise à jour, le comportement change de façon suivante :</p>
<ol style="list-style-type: lower-alpha;">
<li>%ENV est remplie avec la première variable d'environnement, comme
getenv le renverrait ;</li>
<li>les entrées d'environnement en double sont supprimées.</li>
</ol>
<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la
version 5.14.2-21+deb7u3.</p>
<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la
version 5.20.2-3+deb8u4.</p>
<p>Pour la distribution unstable (Sid), ce problème sera corrigé dans la
version 5.22.1-8.</p>
<p>Nous vous recommandons de mettre à jour vos paquets perl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3501.data"
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Ralf Schlatterbeck a découvert une fuite d'informations dans roundup, un
système de suivi de problèmes. Un attaquant authentifié pourrait utilisé cette
fuite pour connaitre des détails sensibles sur les utilisateurs, y compris leurs
mots de passe chiffrés.</p>
<p>Après l'application de cette mise à jour, qui corrige les modèles intégrés,
l'administrateur du site devra s'assurer que les versions d'exemples (dans
/var/lib/roundup habituellement) sont aussi mises à jour, soit en appliquant
des correctifs manuellement, soit en les recréant.</p>
<p>Plus d'information est disponible dans la document amont Ã
<a href="http://www.roundup-tracker.org/docs/upgrading.html#user-data-visibility">
http://www.roundup-tracker.org/docs/upgrading.html#user-data-visibility</a></p>
<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.4.20-1.1+deb7u1.</p>
<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.4.20-1.1+deb8u1.</p>
<p>Pour la distribution testing (Stretch) et unstable (Sid), ce problème n'est pas encore corrigé.</p>
<p>Nous vous recommandons de mettre à jour vos paquets roundup.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3502.data"
#use wml::debian::translation-check translation="1.7" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux, pouvant
résulter en une augmentation des droits, un deni de service, une fuite
d'information ou une perte de données.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4312">CVE-2013-4312</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2847">CVE-2016-2847</a>
<p>Tetsuo Handa a découvert que des utilisateurs peuvent utilisés des
« pipe » mis en queue sur des sockets (Unix) locales pour allouer un
partage injustifié de la mémoire du noyau, conduisant à un déni de service
(épuisement de ressources).</p>
<p>Ce problème était précédemment atténué pour la suite stable en limitant
le nombre total de fichiers mis en queue par chaque utilisateur sur les
sockets locales. La nouvelle version du noyau dans toutes les suites inclut
cette réduction et en plus limite la taille totale des tampons de pipe
allouée à chaque utilisateur.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7566">CVE-2015-7566</a>
<p>Ralf Spenneberg de OpenSource Security a indiqué que le pilote visor
plante lorsqu'un périphérique USB spécialement préparé sans point pour
envoi de masse (bulk-out endpoint) est détecté.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8767">CVE-2015-8767</a>
<p>Un déni de service SCTP a été découvert, qui peut être déclenché par un
attaquant local durant un évènement de dépassement de délai pour un signal
de surveillance (heartbeat) après l'initiation de connexion à quatre
étapes.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8785">CVE-2015-8785</a>
<p>Il a été découvert que des utilisateurs locaux autorisés à écrire dans
un fichier d'un système de fichiers FUSE pourraient provoquer un déni de
service (boucle infinie dans le noyau).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8812">CVE-2015-8812</a>
<p>Une faille a été découverte dans le pilote iw_cxgb3 d'Infiniband. �
chaque fois qu'il ne peut envoyer un paquet pour cause de saturation réseau,
il libère le tampon du paquet mais essaie plus tard de renvoyer le paquet.
Cette utilisation après libération peut amener un déni de service (plantage
ou suspension), une perte de données ou une augmentation de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8816">CVE-2015-8816</a>
<p>Une vulnérabilité d'utilisation après libération a été découverte dans
le pilote de concentrateur USB. Cela peut être utilisé par un utilisateur
physiquement présent pour obtenir une augmentation de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8830">CVE-2015-8830</a>
<p>Ben Hawkes de Project Zero de Google a indiqué que l'interface AIO
permettait de lire ou écrire deux GO de données ou plus d'un
seul tenant, pouvant mener à un dépassement d'entier lorsqu'appliqué Ã
certains types de système de fichiers, de socket ou de périphérique.
L'impact total réel n'a pas encore été évalué.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0723">CVE-2016-0723</a>
<p>Une vulnérabilité d'utilisation après libération a été découverte dans
l'ioctl TIOCGETD. Un attaquant local pourrait utiliser cette faiblesse pour
créer un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0774">CVE-2016-0774</a>
<p>Il a été découvert que le correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2015-1805">CVE-2015-1805</a>
dans les versions de noyau antérieures à Linux 3.16 ne géraient pas
correctement le cas d'une mauvaise lecture partielle atomique. Un
utilisateur local sans droit particulier pourrait utiliser ce défaut pour
planter le système ou divulguer de la mémoire noyau dans l'espace
utilisateur.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2069">CVE-2016-2069</a>
<p>Andy Lutomirski a découvert une situation de compétition dans le
nettoyage du TLB lors de changement de tâches dans les systèmes x86. Sur un
système SMP, cela peut conduire à un plantage, une fuite d'information ou
une augmentation de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2384">CVE-2016-2384</a>
<p>Andrey Konovalov a découvert qu'un périphérique MIDI USB spécialement
préparé avec descripteur USB non valable peut déclencher une double
libération. Cela peut être utilisé par un utilisateur physiquement présent
pour obtenir une augmentation de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2543">CVE-2016-2543</a>
<p>Dmitry Vyukov a découvert que le pilote central du séquenceur de son
(snd-seq) ne réalise pas un contrôle nécessaire d'un pointeur NULL,
permettant à un utilisateur, ayant accès à un périphérique séquenceur, de
causer un déni de service (plantage).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2544">CVE-2016-2544</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2546">CVE-2016-2546</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2547">CVE-2016-2547</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-2548">CVE-2016-2548</a>
<p>Dmitry Vyukov a découvert diverses situations de compétition dans la
gestion d'horloges dans le sous-système de son (ALSA). Un utilisateur ayant
accès aux périphériques de son pourrait utiliser cela pour provoquer un
déni de service (plantage ou blocage) ou peut-être une augmentation de
droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2545">CVE-2016-2545</a>
<p>Dmitry Vyukov a découvert un défaut dans la manipulation de liste
dans la gestion d'horloges dans le sous-système de son (ALSA). Un
utilisateur ayant accès aux périphériques de son pourrait utiliser cela
pour provoquer un déni de service (plantage ou blocage) ou peut-être une
augmentation de droits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2549">CVE-2016-2549</a>
<p>Dmitry Vyukov a découvert un blocage potentiel lors de l'utilisation
dans le sous-système de son (ALSA) d'horloges de haute résolution. Un
utilisateur ayant accès aux périphériques de son pourrait utiliser cela
pour provoquer un déni de service (blocage).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2550">CVE-2016-2550</a>
<p>La réduction originale de
<a href="https://security-tracker.debian.org/tracker/CVE-2013-4312">CVE-2013-4312</a>,
limitant le nombre total de fichiers qu'un utilisateur pouvait mettre dans
une queue, présentait des défauts. Un utilisateur par une socket ouverte
par un autre utilisateur, par exemple, à travers le mécanisme d'activation
de socket de systemd, pourrait utiliser le quota de l'autre utilisateur,
conduisant de nouveau à un déni de service (épuisement de ressources).
Cela est corrigé en attribuant les fichiers mis en queue à l'expéditeur
plutôt qu'au créateur de la socket.</p></li>
</ul>
<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.73-2+deb7u3.
La distribution oldstable (Wheezy) n'est pas affecté par
<a href="https://security-tracker.debian.org/tracker/CVE-2015-8830">CVE-2015-8830</a>.</p>
<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.16.7-ckt20-1+deb8u4.
<a href="https://security-tracker.debian.org/tracker/CVE-2013-4312">CVE-2013-4312</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-7566">CVE-2015-7566</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-8767">CVE-2015-8767</a> et
<a href="https://security-tracker.debian.org/tracker/CVE-2016-0723">CVE-2016-0723</a> ont été déjà corrigés
dans la DSA-3448-1. <a href="https://security-tracker.debian.org/tracker/CVE-2016-0774">CVE-2016-0774</a>
n'affecte pas la distribution stable.</p>
<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3503.data"
Reply to: