[RFR] wml://security/2016/dsa-36{59,60,61}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Une authentification SASL incorrecte dans le serveur IRC Charybdis
pourrait conduire à l'usurpation de l'identité d'utilisateurs par d'autres
utilisateurs.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.4.2-5+deb8u2.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.5.3-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets charybdis.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3661.data"
# $Id: dsa-3661.wml,v 1.1 2016/09/07 22:07:53 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le navigateur web
Chromium.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5147";>CVE-2016-5147</a>

<p>Un problème de script intersite a été découvert.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5148";>CVE-2016-5148</a>

<p>Un autre problème de script intersite a été découvert.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5149";>CVE-2016-5149</a>

<p>Max Justicz a découvert un problème d'injection de script dans le traitement des extensions.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5150";>CVE-2016-5150</a>

<p>Un problème d'utilisation de mémoire après libération a été découvert
dans Blink et Webkit.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5151";>CVE-2016-5151</a>

<p>Un problème d'utilisation de mémoire après libération a été découvert
dans la bibliothèque pdfium.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5152";>CVE-2016-5152</a>

<p>GiWan Go a découvert un problème de dépassement de tas dans la
bibliothèque pdfium.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5153";>CVE-2016-5153</a>

<p>Atte Kettunen a découvert un problème d'utilisation de mémoire après
destruction.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5154";>CVE-2016-5154</a>

<p>Un problème de dépassement de tas a été découvert dans la bibliothèque
pdfium.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5155";>CVE-2016-5155</a>

<p>Un problème d'usurpation d'adresse a été découvert.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5156";>CVE-2016-5156</a>

<p>jinmo123 a découvert un problème d'utilisation de mémoire après
libération.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5157";>CVE-2016-5157</a>

<p>un problème de dépassement de tas a été découvert dans la bibliothèque
pdfium.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5158";>CVE-2016-5158</a>

<p>GiWan Go a découvert un problème de dépassement de tas dans la
bibliothèque pdfium.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5159";>CVE-2016-5159</a>

<p>GiWan Go a découvert un autre problème de dépassement de tas dans la
bibliothèque pdfium.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5160";>CVE-2016-5160</a>

<p>@l33terally a découvert un contournement de ressources d'extensions.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5161";>CVE-2016-5161</a>

<p>Un problème de confusion de type a été découvert.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5162";>CVE-2016-5162</a>

<p>Nicolas Golubovic a découvert un contournement de ressources
d'extensions.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5163";>CVE-2016-5163</a>

<p>Rafay Baloch a découvert un problème d'usurpation d'adresse.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5164";>CVE-2016-5164</a>

<p>Un problème de script intersite a été découvert dans les outils de
développement.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5165";>CVE-2016-5165</a>

<p>Gregory Panakkal a découvert un problème d'injection de script dans les
outils de développement.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5166";>CVE-2016-5166</a>

<p>Gregory Panakkal a découvert un problème avec la fonctionnalité <q>Save
Page As</q>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5167";>CVE-2016-5167</a>

<p>L'équipe de développement de chrome a découvert et corrigé plusieurs
problèmes lors d'un audit interne.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 53.0.2785.89-1~deb8u1.</p>

<p>Pour la distribution testing (Stretch), ces problèmes seront corrigés prochainement.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 53.0.2785.89-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets chromium-browser.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3660.data"
# $Id: dsa-3660.wml,v 1.1 2016/09/07 22:07:53 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une augmentation de droits, un déni de service ou
avoir d'autres impacts.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5696";>CVE-2016-5696</a>

<p>Yue Cao, Zhiyun Qian, Zhongjie Wang, Tuan Dao et Srikanth V.
Krishnamurthy de l'université de Californie, à Riverside, et Lisa
M. Marvel du laboratoire de recherche de l'armée des �tats-Unis ont
découvert que l'implémentation de Linux de la fonctionnalité <q>Challenge
ACK</q> de TCP a pour conséquence une attaque par canal auxiliaire qui peut
être utilisée pour découvrir des connexions TCP entre des adresses IP
spécifiques et pour injecter des messages dans ces connexions.</p>

<p>Lorsqu'un service est rendu disponible par TCP, cela peut permettre à 
des attaquants distants de se faire passer pour un autre utilisateur
connecté au serveur, ou pour le serveur pour un autre utilisateur connecté.
Dans le cas où le service utilise un protocole avec authentification de
message (par exemple TLS ou SSH), cette vulnérabilité permet seulement un
déni de service (échec de connexion). Une attaque prend des dizaines de
secondes, aussi il est peu probable que des connexions TCP de courte durée
soient aussi vulnérables.</p>

<p>Ce problème peut être atténué en augmentant la limite de débit pour les
<q>Challenge ACK</q> de TCP pour qu'elle ne soit jamais dépassée : sysctl
net.ipv4.tcp_challenge_ack_limit=1000000000</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6136";>CVE-2016-6136</a>

<p>Pengfei Wang a découvert que le sous-système audit avait un bogue de
type <q>double fetch</q> ou <q>TOCTTOU</q> dans son traitement des
caractères spéciaux dans le nom d'un exécutable. Quand la journalisation
par audit de execve() est activée, cela permet à un utilisateur local de
générer des messages de journal trompeurs.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6480";>CVE-2016-6480</a>

<p>Pengfei Wang a découvert que le pilote aacraid pour les contrôleurs RAID
d'Adaptec RAID avait un bogue de type <q>double fetch</q> ou <q>TOCTTOU</q>
dans sa validation des messages <q>FIB</q> passés au travers de l'appel
système ioctl(). Ceci n'a pas d'impact de sécurité pratique dans les
versions actuelles de Debian.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6828";>CVE-2016-6828</a>

<p>Marco Grassi a signalé un bogue d'utilisation de mémoire après
libération dans l'implémentation de TCP qui peut être déclenché par des
utilisateurs locaux. Son impact sur la sécurité n'est pas clair, mais il
pourrait inclure un déni de service ou une augmentation de droits.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés
dans la version 3.16.36-1+deb8u1. En complément, cette mise à jour contient
des modifications prévues à l'origine pour la prochaine version
intermédiaire de Jessie.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3659.data"
# $Id: dsa-3659.wml,v 1.1 2016/09/07 22:07:53 jipege1-guest Exp $