Re: [RFR] wml://security/2014/dla-2{0,3,4,5,6,7,8,9}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

le mercredi 02 août 13:14, jean-pierre giraud a écrit :

>Suggestions.

Merci, intégrées.

Dernières relectures ?

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1.4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>[Christoph Biedl]</p>
<ul>
<li>Munin-node : traitement de fichier dâ??état plus sécurisé, introduisant un
nouveau superutilisateur de répertoire dâ??état de nouveaux greffons, avec
lâ??UID 0. Alors, chaque greffon est exécuté dans son propre répertoire dâ??état
avec son propre UID. (fermeture des bogues n° 684075, n° 679897), correction de
<a href="https://security-tracker.debian.org/tracker/CVE-2012-3512";>CVE-2012-3512</a>.
</li>
<li>Greffons : utilisation de $ENV{MUNIN_PLUGSTATE}. Ainsi, tous les greffons
proprement écrits utiliseront /var/lib/munin-node/plugin-state/$uid/$un_fichier
dorénavant. Merci de signaler les greffons utilisant encore
/var/lib/munin/plugin-state/, car ils peuvent comporter un risque pour la
sécurité !
</li>
<li>Ne pas interrompre la collecte des données pour un nÅ?ud à  cause dâ??un nÅ?ud
malveillant. Correction pour les bogues n° 1397 de munin et de
<a href="https://security-tracker.debian.org/tracker/CVE-2013-6048";>CVE-2013-6048</a>.
</li>
<li>Validation du nom de greffon <q>multigraph</q>,
<a href="https://security-tracker.debian.org/tracker/CVE-2013-6359";>CVE-2013-6359</a>.
</li>
</ul>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 1.4.5-3+deb6u1 de munin.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-20.data"
# $Id: dla-20.wml,v 1.2 2017/08/02 11:39:52 jptha-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Poppler renvoyait lâ??exécution du programme vers la bibliothèque libjpeg avec
des conditions dâ??erreur, non prévues par la bibliothèque, et conduisait à  un
plantage de l'application et, éventuellement, à  lâ??exécution de code.</p>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 0.12.4-1.2+squeeze4 de poppler.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-24.data"
# $Id: dla-24.wml,v 1.2 2017/08/02 11:39:52 jptha-guest Exp $

#use wml::debian::translation-check translation="1.4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une régression a été identifiée dans la mise à jour DLA-25-1 pour python2.6,
qui pourrait provoquer lâ??interruption des applications, si elles sont en cours
dâ??exécution durant la mise à  niveau et si elles nâ??ont pas déjà  importé le module
<q>os</q> mais le font après la mise à niveau. Cette mise à jour corrige le
scénario de la mise à niveau.</p>

<p>Pour indication, voici le texte de lâ??annonce originale.</p>

<p>Plusieurs vulnérabilités ont été découvertes dans python2.6. Les plus
importantes sont les suivantes.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4238";>CVE-2013-4238</a>

<p>Un traitement incorrect de caractères NULL dans les noms d'hôte de certificat
pourrait permettre dâ??usurper un serveur à  lâ??aide de certificats contrefaits
pour l'occasion signés par des autorités de certification de confiance.</p>
</li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1912";>CVE-2014-1912</a>

<p>Un débordement de tampon dans socket.recvfrom_into conduit au plantage de
l'application et éventuellement à  lâ??exécution de code.</p></li>

</ul>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 2.6.6-8+deb6u2 de python2.6.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-25.data"
# $Id: dla-25.wml,v 1.2 2017/08/02 11:39:52 jptha-guest Exp $

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Correction de diverses attaques par déni de service :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3487";>CVE-2014-3487</a>

<p>La fonction cdf_read_property_info ne valide pas correctement un emplacement
de flux. Cela permet à des attaquants distants de provoquer un déni de service
(plantage de l'application) Ã  l'aide d'un fichier CDF contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3480";>CVE-2014-3480</a>

<p>La fonction cdf_count_chain dans cdf.c ne valide pas correctement des
données <q>nombre de secteurs</q>. Cela permet à des attaquants distants de provoquer
un déni de service (plantage de l'application) à l'aide d'un fichier CDF contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3479";>CVE-2014-3479</a>

<p>La fonction cdf_check_stream_offset dans cdf.c dépend de données
<q>taille de secteurs</q> incorrectes. Cela permet à des attaquants distants de
provoquer un déni de service (plantage de l'application) à l'aide d'un
emplacement de flux contrefait dans un fichier CDF.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3478";>CVE-2014-3478</a>

<p>Un débordement de tampon dans la fonction mconvert dans softmagic.c permet
à des attaquants distants de provoquer un déni de service (plantage de
l'application) à l'aide d'une chaîne en Pascal contrefaite dans une conversion de
FILE_PSTRING.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0238";>CVE-2014-0238</a>

<p>La fonction cdf_read_property_info dans cdf.c permet à des attaquants
distants de provoquer un déni de service (boucle infinie ou accès mémoire hors
limites) Ã  l'aide d'un vecteur qui est de longueur nulle ou trop long).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0237";>CVE-2014-0237</a>

<p>La fonction cdf_unpack_summary_info dans cdf.c permet à des attaquants
distants de provoquer un déni de service (dégradation de performances) en
déclenchant de nombreux appels file_printf.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0207";>CVE-2014-0207</a>

<p>La fonction cdf_read_short_sector dans cdf.c permet à des attaquants
distants de provoquer un déni de service (erreur dâ??assertion et sortie
dâ??application) Ã  l'aide d'un fichier CDF contrefait.</p></li>

</ul>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 5.04-5+squeeze6 de file.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-27.data"
# $Id: dla-27.wml,v 1.2 2017/08/02 11:39:52 jptha-guest Exp $