[RFR] wml://security/2016/dsa-355{3,4,5}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans imlib2, une bibliothèque
de manipulation d'image.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-5326";>CVE-2011-5326</a>

<p>Kevin Ryde a découvert qu'une tentative pour tracer une ellipse de rayon
2x1 a pour conséquence une exception de virgule flottante.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9771";>CVE-2014-9771</a>

<p>Un dépassement d'entier pourrait conduire à des lectures de mémoire
incorrectes et à des allocations de mémoire de taille déraisonnable.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3993";>CVE-2016-3993</a>

<p>Yuriy M. Kaminskiy a découvert qu'un tracé utilisant des coordonnées
d'une source non fiable pourrait conduire à une lecture de mémoire hors
limite qui à son tour pourrait aboutir à un plantage de l'application.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3994";>CVE-2016-3994</a>

<p>Jakub Wilk a découvert qu'une image malformée pourrait conduire à une
lecture hors limite dans le chargeur de GIF qui peut avoir pour conséquence
un plantage de l'application ou une fuite d'informations.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4024";>CVE-2016-4024</a>

<p>Yuriy M. Kaminskiy a découvert un dépassement d'entier qui pourrait
conduire à une allocation de mémoire de tas insuffisante et à une écriture
de mémoire hors limite.</p></li>

</ul>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u2.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.4.6-2+deb8u2.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.8-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets imlib2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3555.data"
# $Id: dsa-3555.wml,v 1.1 2016/04/24 11:27:22 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3158";>CVE-2016-3158</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3159";>CVE-2016-3159</a> (XSA-172)

<p>Jan Beulich de SUSE a découvert de Xen ne gérait pas correctement les
écritures sur le matriel du bit FSW.ES lors de l'exécution sur des
processeurs AMD64. Un domaine malveillant peut tirer avantage de ce défaut
pour obtenir des informations sur l'utilisation de l'espace d'adresse et la
synchronisation d'un autre domaine, à un coût relativement faible.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3960";>CVE-2016-3960</a> (XSA-173)

<p>Ling Liu et Yihan Lian de l'équipe Cloud Security de Qihoo 360 ont
découvert un dépassement d'entier dans le code de la table de pages
miroir x86. Un client HVM utilisant des tables de pages miroir peut faire
planter l'hôte. Un client PV utilisant des tables de pages miroir
(c'est-à -dire ayant été migré) avec des superpages PV activées (ce qui
n'est pas le cas par défaut) peut faire planter l'hôte, ou corrompre la
mémoire de l'hyperviseur, menant éventuellement à une augmentation de
droits.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.4.1-9+deb8u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xen.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3554.data"
# $Id: dsa-3554.wml,v 1.1 2016/04/24 11:27:21 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Régis Leroy de Makina Corpus a découvert que varnish, un mandataire
inverse HTTP à mise en cache, est vulnérable à des problèmes de
dissimulation de requête HTTP, ayant éventuellement pour conséquence un
empoisonnement de cache ou le contournement de politiques de contrôle
d'accès.</p>

<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 3.0.2-2+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets varnish.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3553.data"
# $Id: dsa-3553.wml,v 1.1 2016/04/24 11:27:21 jipege1-guest Exp $