[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2016/dsa-354{7,8}.wml

Bonjour,
Deux nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Samba, un serveur de
fichier SMB/CIFS, d'impression et de connexion pour UNIX. 

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5370";>CVE-2015-5370</a>

<p>Jouni Knuutinen de Synopsys a découvert des défauts dans le code DCE-RPC
de Samba qui peut conduire à déni de service (plantages et utilisation
importante du microprocesseur) et des attaques de type « homme du milieu ».</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2110";>CVE-2016-2110</a>

<p>Stefan Metzmacher de SerNet et l'équipe de Samba ont découvert que la
négociation de fonctions de NTLMSSP ne protégeait pas contre des attaques
de dégradation.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2111";>CVE-2016-2111</a>

<p>Lorsque Samba est configuré comme contrôleur de domaine, il permet à des
attaquants distants d'usurper le nom d'ordinateur d'une terminaison de
canal protégé et d'obtenir des informations sensibles de session. Ce défaut
correspond à la même vulnérabilité que <a
href="https://security-tracker.debian.org/tracker/CVE-2015-0005";>CVE-2015-0005</a>
pour Windows, découvert par Alberto Solino de Core Security.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2112";>CVE-2016-2112</a>

<p>Stefan Metzmacher de SerNet et l'équipe de Samba ont découvert qu'un
attaquant de type « homme du milieu » peut dégrader des connexions LDAP
pour éviter une protection d'intégrité.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2113";>CVE-2016-2113</a>

<p>Stefan Metzmacher de SerNet et l'équipe de Samba ont découvert que des
attaques de type « homme du milieu » sont possibles pour des connexions
LDAP ou ncacn_http déclenchées par le client.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2114";>CVE-2016-2114</a>

<p>Stefan Metzmacher de SerNet et l'équipe de Samba ont découvert que Samba
ne faisait pas exécuter les signatures smb même si elles sont explicitement
configurées.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2115";>CVE-2016-2115</a>

<p>Stefan Metzmacher de SerNet et l'équipe de Samba ont découvert que les
connexions SMB pour un trafic IPC ne bénéficiaient pas de protection
d'intégrité.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2118";>CVE-2016-2118</a>

<p>Stefan Metzmacher de SerNet  et l'équipe de Samba ont découvert qu'un
attaquant de type « homme du milieu » peut intercepter tout trafic DCERPC
entre un client et un serveur afin d'usurper l'identité du client et
d'obtenir les mêmes droits que le compte d'utilisateur authentifié.</p></li>

</ul>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés
dans la version 2:3.6.6-6+deb7u9. La distribution oldstable n'est pas
affectée par <a href="https://security-tracker.debian.org/tracker/CVE-2016-2113";>CVE-2016-2113</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2016-2114";>CVE-2016-2114</a>.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés
dans la version 2:4.2.10+dfsg-0+deb8u1. Les problèmes ont été réglés en
mettant à niveau vers la nouvelle version amont 4.2.10 qui contient des
modifications et des corrections de bogue supplémentaires. Les bibliothèques
dépendantes ldb, talloc, tdb et tevent doivent aussi être mises à jour vers
de nouvelles versions amont pour cette mise à jour.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2:4.3.7+dfsg-1.</p>

<p>Veuillez vous référer aux pages

<ul>
<li><a href="https://www.samba.org/samba/latest_news.html#4.4.2";>\
https://www.samba.org/samba/latest_news.html#4.4.2</a></li>
<li><a href="https://www.samba.org/samba/history/samba-4.2.0.html";>\
https://www.samba.org/samba/history/samba-4.2.0.html</a></li>
<li><a href="https://www.samba.org/samba/history/samba-4.2.10.html";>\
https://www.samba.org/samba/history/samba-4.2.10.html<a/></li>
</ul>

pour plus de détails (en particulier pour les nouvelles options et
configurations par défaut).</p>

<p>Nous souhaitons remercier Andreas Schneider et Guenther Deschner
(Red Hat), Stefan Metzmacher et Ralph Boehme (SerNet) et Aurelien Aptel
(SUSE) pour l'important travail de rétroportage nécessaire à la prise en
charge de Samba 3.6 et Samba 4.2, et Andrew Bartlett (Catalyst), Jelmer
Vernooij et Mathieu Parent pour leur aide pour la préparation des mises à
jour de Samba et des bibliothèques d'infrastructure sous-jacente.</p>

<p>Nous vous recommandons de mettre à jour vos paquets samba.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3548.data"
# $Id: dsa-3548.wml,v 1.1 2016/04/14 20:48:45 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Imagemagick, une suite
de programmes de manipulation d'image. Cette mise à jour corrige un grand
nombre de problèmes de sécurité potentiels tel qu'un accès à un pointeur
NULL et des dépassements de tampon qui pourraient mener à des fuites de
mémoire ou à un déni de service. Aucun de ces problèmes de sécurité n'a
reçu de numéro de CVE.</p>

<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 8:6.7.7.10-5+deb7u4.</p>

<p>Pour la distribution stable (Jessie), ce problème a déjà été corrigé dans la version 8:6.8.9.9-5+deb8u1, dans la dernière version intermédiaire.</p>

<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3547.data"
# $Id: dsa-3547.wml,v 1.1 2016/04/14 20:48:45 jipege1-guest Exp $
Reply to: