[RFR2] wml://security/2016/dsa-36{29,33}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Le 29/07/2016 à 07:39, JP Guillonneau a écrit :
> Bonjour, 
> suggestions.
> Amicalement.
> --
> Jean-Paul
Corrigé.
Merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen. Le
projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8338";>CVE-2015-8338</a>

<p>Julien Grall a découvert que Xen sur ARM était vulnérable à un déni de
service grâce à des opérations durant longtemps en mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4480";>CVE-2016-4480</a>

<p>Jan Beulich a découvert qu'un traitement incorrect de table de page
pourrait avoir pour conséquence une augmentation de droits dans une
instance de client Xen.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4962";>CVE-2016-4962</a>

<p>Wei Liu a découvert de multiples cas d'absence de vérification des
entrées dans libxl qui pourraient avoir pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5242";>CVE-2016-5242</a>

<p>Aaron Cornelius a découvert qu'un traitement incorrect de ressource sur
les systèmes ARM pourrait avoir pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6258";>CVE-2016-6258</a>

<p>Jeremie Boutoille a découvert qu'un traitement incorrect de table de page
dans des instances paravirtuelles (PV) pourrait avoir pour conséquence une
augmentation de droits du client vers l'hôte.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.4.1-9+deb8u6.</p>

<p>Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xen.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3633.data"
# $Id: dsa-3633.wml,v 1.2 2016/07/29 10:18:46 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le démon du protocole
NTP (« Network Time Protocol ») et des utilitaires :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7974";>CVE-2015-7974</a>

<p>Matt Street a découvert qu'une validation de clé insuffisante permet
des attaques par usurpation d'identité entre pairs authentifiés.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7977";>CVE-2015-7977</a>

<p><a href="https://security-tracker.debian.org/tracker/CVE-2015-7978";>CVE-2015-7978</a></p>

<p>Stephen Gray a découvert qu'un déréférencement de pointeur NULL et un
dépassement de tampon dans le traitement des commandes <q>ntpdc reslist</q>
peuvent avoir pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7979";>CVE-2015-7979</a>

<p>Aanchal Malhotra a découvert que si NTP est configuré en mode diffusion,
un attaquant peut envoyer des paquets d'authentification malformés qui
brisent l'association avec le serveur d'autres clients de diffusion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8138";>CVE-2015-8138</a>

<p>Matthew van Gundy et Jonathan Gardner ont découvert que l'absence de
validation des estampilles temporelles d'origine dans les clients ntpd peut
avoir pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8158";>CVE-2015-8158</a>

<p>Jonathan Gardner a découvert que l'absence de vérification des entrées
dans ntpq peut avoir pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1547";>CVE-2016-1547</a>

<p>Stephen Gray et Matthew van Gundy ont découvert qu'un traitement
incorrect de paquets crypto-NAK peut avoir pour conséquence un déni de
service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1548";>CVE-2016-1548</a>

<p>Jonathan Gardner et Miroslav Lichvar ont découvert que des clients ntpd 
pourraient être contraints de passer du mode basique client/serveur au mode
entrelacé symétrique, empêchant la synchronisation de l'heure.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1550";>CVE-2016-1550</a>

<p>Matthew van Gundy, Stephen Gray et Loganaden Velvindron ont découvert que
des fuites de temporisation dans le code d'authentification de paquet
pourraient avoir pour conséquence la récupération d'un condensé de message.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2516";>CVE-2016-2516</a>

<p>Yihan Lian a découvert que des adresses IP dupliquées dans des directives
<q>unconfig</q> déclenchent une assertion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2518";>CVE-2016-2518</a>

<p>Yihan Lian a découvert qu'un accès mémoire hors limites pourrait
éventuellement planter ntpd.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1:4.2.6.p5+dfsg-7+deb8u2.</p>

<p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1:4.2.8p7+dfsg-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:4.2.8p7+dfsg-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ntp.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3629.data"
# $Id: dsa-3629.wml,v 1.2 2016/07/29 10:18:41 jipege1-guest Exp $