[RFR] wml://security/2016/dsa-370{2,3,4,5}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
quatre nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque
de transfert par URLÂ :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8615";>CVE-2016-8615</a>

<p>Un serveur HTTP malveillant pourrait injecter de nouveaux cookies pour
des domaines arbitraires dans un conteneur à cookies.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8616";>CVE-2016-8616</a>

<p>Lors de la réutilisation d'une connexion, curl faisait des comparaisons
de noms d'utilisateur et de mots de passe, sans tenir compte de la casse,
avec les connexions existantes.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8617";>CVE-2016-8617</a>

<p>Dans les systèmes avec des adresses 32 bits dans l'espace utilisateur
(par exemple x86, ARM, x32), le calcul de la valeur de la taille du tampon
de sortie dans la fonction encode base64 pourrait s'enlacer si la taille
d'entrée était d'au moins 1 GB de données, provoquant le
sous-dimensionnement du tampon de sortie à allouer.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8618";>CVE-2016-8618</a>

<p>La fonction curl_maprintf() pourrait être entraînée à une double
libération de zone de mémoire à cause d'une multiplication de size_t
non sûre dans les systèmes utilisant des variables size_t 32 bits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8619";>CVE-2016-8619</a>

<p>L'implémentation de Kerberos pourrait être entraînée à une double
libération de zone de mémoire lors de la lecture d'un des champs de
longueur à partir d'une socket.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8620";>CVE-2016-8620</a>

<p>La fonctionnalité <q>globbing</q> de l'outil curl pourrait écrire dans
des emplacements de mémoire incorrects lors de l'analyse de plages non
valables.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8621";>CVE-2016-8621</a>

<p>La fonction curl_getdate pourrait effectuer des lectures hors limites
lors de l'analyse de chaînes de dates non valables.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8622";>CVE-2016-8622</a>

<p> La fonction de décodage du « percent-encoding » d'URL renverrait une
variable entière signée 32 bits comme longueur, même si elle a alloué un
tampon de destination de plus de 2 Go, qui mènerait à une écriture hors
limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8623";>CVE-2016-8623</a>

<p>libcurl pourrait accéder à un emplacement de mémoire déjà libéré à cause
d'un accès concurrent à des cookies partagés. Cela pourrait conduire à 
un déni de service ou à la divulgation d'informations sensibles.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8624";>CVE-2016-8624</a>

<p>curl n'analyserait pas correctement le composant d'autorité d'une URL
lorsque le nom d'hôte se termine par un caractère « # », et pourrait être
entraîné à se connecter à un hôte différent.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u5.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.51.0-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3705.data"
# $Id: dsa-3705.wml,v 1.1 2016/11/05 23:08:29 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Aleksandar Nikolic de Cisco Talos a découvert plusieurs vulnérabilités
de dépassement d'entier dans memcached, un système de gestion d'objets en
mémoire de haute performance. Un attaquant distant peut tirer avantage de
ces défauts pour provoquer un déni de service (plantage du démon), ou
éventuellement pour exécuter du code arbitraire.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.4.21-1.1+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets memcached.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3704.data"
# $Id: dsa-3704.wml,v 1.1 2016/11/05 23:08:29 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Tony Finch et Marco Davids ont signalé un échec d'assertion dans BIND,
une implémentation de serveur de noms de domaines, qui provoque l'arrêt du
processus du serveur.Cette vulnérabilité de déni de service est liée à un
défaut dans le traitement de réponses avec des enregistrements de DNAME
provenant de serveurs faisant autorité et affecte principalement les
résolveurs récursifs.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1:9.9.5.dfsg-9+deb8u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bind9.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3703.data"
# $Id: dsa-3703.wml,v 1.1 2016/11/05 23:08:29 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Harry Sintonen a découvert que GNU tar ne gère pas correctement les noms
de membre contenant « .. », permettant ainsi à un attaquant de contourner
les noms de chemin spécifiés sur la ligne de commande et de changer des
fichiers et des répertoires dans le répertoire cible.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.27.1-2+deb8u1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.29b-1.1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tar.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3702.data"
# $Id: dsa-3702.wml,v 1.1 2016/11/05 23:08:29 jipege1-guest Exp $