[RFR] wml://security/2015/dla-34{0,3,4,7,8,9}.wml​

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Voici 6 traductions de dla. La 340 est une copie adaptée de dsa 3395,
343 de dsa 3399, 344 de 3406, 347 de 3409 et 349 de 3404.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans krb5, l'implémentation
du MIT de Kerberos. Le projet « Common Vulnerabilities and Exposures »
(CVE) identifie les problèmes suivants :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2695";>CVE-2015-2695</a>

 <p>Les applications qui appellent la fonction gss_inquire_context() dans un
contexte SPNEGO partiellement établi peuvent faire en sorte que la
bibliothèque GSS-API lise à partir d'un pointeur avec le mauvais type,
menant au plantage du processus.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2697";>CVE-2015-2697</a>

<p>La fonction build_principal_va() traite incorrectement les chaînes
d'entrée. Un attaquant authentifié peut tirer avantage de ce défaut pour
provoquer le plantage de KDC grâce à une requête TGS avec un grand champ de
domaine (<q>realm</q>) commençant par un octet null.</p></li>

</ul>

<p>Pour la distribution oldoldstable (Squeeze), ces problèmes ont été
corrigés dans la version 1.8.3+dfsg-4squeeze10.</p>

<p>Nous vous recommandons de mettre à jour vos paquets krb5.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-340.data"
# $Id: dla-340.wml,v 1.1 2017/07/09 23:11:56 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
   <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7981";>CVE-2015-7981</a>
    <p>Ajout d'une vérfication de sécurité dans png_set_tIME() (bogue
    rapporté par Qixue Xiao).</p></li>
   <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8126";>CVE-2015-8126</a>
     <p>Plusieurs dépassement de tampons dans les fonctions (1) png_set_PLTE
     et (2) png_get_PLTE dans libpng avant les versions 1.0.64, 1.1.x et
     1.2.x avant 1.2.54, 1.3.x et 1.4.x avant 1.4.17, 1.5.x avant 1.5.24, et
     1.6.x avant 1.6.19 permet à des attaquants distants de provoquer un
     deni de service (plantage de l'application) ou éventuellement avoir un
     autre impact inconnu à l'aide d'une faible valeur de profondeur de bits
     dans le segment d'en-tête d'image ("IHDR") d'une image PNG.</p></li>
   <li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3425";>CVE-2012-3425</a>
     <p>Le code vulnérable n'est pas présent.</p></li>
</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-343.data"
# $Id: dla-343.wml,v 1.1 2017/07/09 23:11:56 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Ryan Sleevi, ingénieur de sécurité chez Google, a découvert une
vulnérabilité dans la bibliothèque d'exécution portable de Netscape (NSPR).
Une allocation de mémoire de NSPR, sans vérification spécifique, permet à des
attaquants distants de provoquer un déni de service ou d'exécuter du code
arbitraire.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ce problème a été corrigé dans la
version 4.8.6-1+squeeze3 de nspr. Nous vous recommandons de mettre à jour
vos paquets nspr.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-344.data"
# $Id: dla-344.wml,v 1.1 2017/07/09 23:11:56 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>L'émulateur de terminal de PuTTY ne valide pas correctement le paramètre
de la séquence de contrôle ECH (effacement de caractères), permettant un
déni de service et éventuellement l'exécution de code à distance.</p>

<p>Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé
dans la version 0.60+2010-02-20-1+squeeze4.</p>

<p>Pour les distributions oldstable (Wheezy) et stable (Jessie), ce problème
sera corrigé prochainement.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-347.data"
# $Id: dla-347.wml,v 1.1 2017/07/09 23:11:56 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4168";>CVE-2013-4168</a>

<p>Un problème mineur de script intersite a été résolu dans la version
amont 2.6.9, découvert par Steven Chamberlain et rétroporté par l'équipe de
sécurité du suivi à long terme (« LTS »).</p></li>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-348.data"
# $Id: dla-348.wml,v 1.1 2017/07/09 23:11:56 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une potentielle fuite de configuration dans le filtre de
gabarit de date de Django, une structure de développement web.</p>

<p>Si une application autorise des utilisateurs à spécifier un format de
date non valable et transmet ce format au filtre de date, par exemple
<tt>{{ last_updated|date:user_date_format }}</tt>, alors, un utilisateur
malveillant pourrait obtenir des secrets de la configuration de
l'application en spécifiant une clé de configuration à la place d'un format
de date, par exemple <q>SECRET_KEY</q> au lieu de <q>j/m/Y</q>.</p>

<p>Pour remédier à cela, la fonction sous-jacente utilisée par le filtre de
gabarit de date, django.utils.formats.get_format(), ne permet désormais
d'accéder qu'aux réglages de formatage de date et d'heure.</p>

<p>Pour Debian 6 Squeeze, ce problème a été corrigé dans python-django
version 1.2.3-3+squeeze15.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-349.data"
# $Id: dla-349.wml,v 1.1 2017/07/09 23:11:56 jipege1-guest Exp $