[RFR] wml://security/2016/dsa-362{6,7}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Deux nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été corrigées dans phpMyAdmin, l'interface
d'administration web de MySQL.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1927";>CVE-2016-1927</a>

<p>La fonction suggestPassword s'appuyait sur un générateur de nombres
aléatoires non sûr qui facilite pour des attaquants distants la découverte
des mots passe générés à l'aide d'une approche par force brute.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2039";>CVE-2016-2039</a>

<p>La valeur des jetons CSRF était générée par un générateur de nombres
aléatoires non sûr. Cela permet aux attaquants distants de contourner les
restrictions d'accès voulues en prédisant une valeur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2040";>CVE-2016-2040</a>

<p>Plusieurs vulnérabilités de script intersite (XSS) permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2041";>CVE-2016-2041</a>

<p>phpMyAdmin n'utilise pas un algorithme en temps constant pour comparer
les jetons CSRF, ce qui facilite pour des attaquants distants le
contournement des restrictions d'accès voulues en mesurant les différences
de temps.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2560";>CVE-2016-2560</a>

<p>Plusieurs vulnérabilités de script intersite (XSS) permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2561";>CVE-2016-2561</a>

<p>Plusieurs vulnérabilités de script intersite (XSS) permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5099";>CVE-2016-5099</a>

<p>Plusieurs vulnérabilités de script intersite (XSS) permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5701";>CVE-2016-5701</a>

<p>Pour les installations fonctionnant en clair en HTTP, phpMyAdmin permet
aux attaquants distants de conduire des attaques d'injection de BBCode à 
l'encontre des sessions HTTP Ã  l'aide d'un URI contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5705";>CVE-2016-5705</a>

<p>Plusieurs vulnérabilités de script intersite (XSS) permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5706";>CVE-2016-5706</a>

<p>phpMyAdmin permet aux attaquants distants de provoquer un déni de service
(consommation de ressources) à l'aide d'un grand tableau dans les paramètres
des scripts.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5731";>CVE-2016-5731</a>

<p>Une vulnérabilité de script intersite (XSS) permet aux attaquants
distants d'injecter un script web arbitraire ou du HTML.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5733";>CVE-2016-5733</a>

<p>Plusieurs vulnérabilités de script intersite (XSS) permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5739";>CVE-2016-5739</a>

<p>Une Transformation contrefaite pour l'occasion pourrait divulguer des
information dont un attaquant distant pourrait se servir pour réaliser
contrefaçons de requête intersite.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4:4.2.12-2+deb8u2.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:4.6.3-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets phpmyadmin.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3627.data"
# $Id: dsa-3627.wml,v 1.1 2016/07/25 21:28:01 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Eddie Harari a signalé que le démon SSH OpenSSH permet une énumération
d'utilisateur à travers une différence de temps lors de tentatives
d'authentification d'utilisateurs. Quand sshd tente d'authentifier un
utilisateur qui n'existe pas, il reprendra une structure fixée de faux mot
de passe avec un hachage basé sur l'algorithme Blowfish. Si des mots de
passe d'utilisateurs réels sont chiffrés avec SHA256 ou SHA512, alors, un
attaquant distant peut tirer avantage de ce défaut en envoyant de longs mots
de passe, recevant du serveur des temps de réponse plus courts pour des utilisateurs qui n'existent pas.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1:6.7p1-5+deb8u3.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:7.2p2-6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssh.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3626.data"
# $Id: dsa-3626.wml,v 1.1 2016/07/25 21:27:54 jipege1-guest Exp $