[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2016/dla-43{2,4,5,7,9}.wml

Bonjour,

Voici quelques traductions de dla adaptées de :
DLA	DSA
439	3503

Merci d'avance pour vos relectures.

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs bogues ont été découverts dans PostgreSQL, un système de serveur
de bases de données relationnelles. La branche 8.4 est obsolète pour lâ??amont,
mais encore présente dans Squeeze de Debian. Cette nouvelle version mineure de
LTS fournit des correctifs appliqués par lâ??amont à la version 9.1.20,
rétroportée vers la version 8.4.22 qui est la dernière version publiée
officiellement par les développeurs de PostgreSQL. Cet effort de LTS pour
Squeeze-lts est un projet de la communauté parrainé par credativ GmbH.</p>

<p>Cette publication est la dernière mise à jour de LTS PostgreSQL 8.4. Les
utilisateurs devraient migrer vers une version plus récente de PostgreSQL à la
première occasion.</p>

<h3>Migration vers la version 8.4.22lts6</h3>

<p>Un vidage et restauration nâ??est pas requis pour ceux utilisant la
version 8.4.X. Cependant, si vous mettez à niveau à partir dâ??une version
antérieure à la version 8.4.22, consultez les notes de publication.</p>

<h3>Correctifs</h3>

<p>Correction de problèmes de boucle infinie et de débordement de tampon dans
des expressions rationnelles (Tom Lane)</p>

<p>Une très grande série de caractères dans des expressions entre crochets
pourrait provoquer des boucles infinies dans certains cas ou dans dâ??autres,
des écrasements de mémoire
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-0773";>CVE-2016-0773</a>).</p>

<p>Réalisation dâ??un arrêt immédiat en cas de suppression du fichier
postmaster.pid (Tom Lane)</p>

<p>Le maître de poste dorénavant vérifie aux environs de chaque minute que le
fichier postmaster.pid est présent et contient ses propres PID. Sinon, il
réalise un arrêt immédiat comme sâ??il avait reçu un SIGQUIT. La principale
motivation pour ce changement est de veiller que des échecs dans la grappe de
construction soient nettoyés sans intervention manuelle. Mais il sert aussi à
limiter les effets indésirables si un administrateur de base de données
supprime par la force le fichier postmaster.pid et puis en redémarre un
nouveau.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-432.data"
# $Id: dla-432.wml,v 1.1 2017/08/07 05:34:57 jptha-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Gustavo Grieco a découvert différents problèmes de sécurité dans gdk-pixbuf
de Gtk+2.0.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4491";>CVE-2015-4491</a>

<p>Dépassement de tas lors du traitement dâ??images BMP, permettant dâ??exécuter
du code arbitraire à lâ??aide dâ??images malformées.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7673";>CVE-2015-7673</a>

<p>Dépassement de tas lors du traitement dâ??images TGA, permettant dâ??exécuter
du code arbitraire ou un déni de service (plantage du processus) à lâ??aide
dâ??images malformées.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7674";>CVE-2015-7674</a>

<p>Dépassement dâ??entier lors du traitement dâ??images GIF, permettant dâ??exécuter
du code arbitraire ou un déni de service (plantage du processus) à lâ??aide
dâ??images malformées.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2.20.1-2+deb6u2 de gtk+2.0. Nous vous recommandons de mettre à jour
vos paquets gtk+2.0.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-434.data"
# $Id: dla-434.wml,v 1.1 2017/08/07 05:34:57 jptha-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tomcat 6, une implémentation de les spécifications dans la servlet et JSp
(JavaServer Pages ) de Java, et un pur environnement de serveur Java, était
affectés par de nombreux problèmes de sécurité avant la version 6.0.45.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5174";>CVE-2015-5174</a>

<p>Une vulnérabilité de traversée de répertoire dans RequestUtil.java dans
Tomcat dâ??Apache versions 6.x avant 6.0.45, 7.x avant 7.0.65, et 8.x
avant 8.0.27, permet à des attaquants distants authentifiés de contourner les
restrictions voulues de SecurityManager, et dâ??obtenir une liste du répertoire
parent à l'aide d'un « /.. » (barre oblique point point) dans un nom de chemin
utilisé par une application web  avec un appel getResource,
getResourceAsStream ou getResourcePaths, comme montrée dans le répertoire
$CATALINA_BASE/webapps.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5345";>CVE-2015-5345</a>

<p>Le composant Mapper dans Tomcat dâ??Apache versions 6.x avant 6.0.45, 7.x
avant 7.0.67, 8.x avant 8.0.30 et 9.x avant 9.0.0.M2, traite les redirections
avant de considérer les contraintes et filtres de sécurité, ce qui permet aux
attaquants distants de connaitre lâ??existence dâ??un répertoire à l'aide d'un URL
auquel manque un caractère de barre oblique inverse à la fin.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5351";>CVE-2015-5351</a>

<p>Les applications Manager et Host Manager dans Tomcat dâ??Apache établissent
des sessions et envoient des jetons CSRF pour de nouvelles requêtes
arbitraires, permettant aux attaquants distants de contourner un mécanisme de
protection CSRF en utilisant un jeton.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0706";>CVE-2016-0706</a>

<p>Tomcat dâ??Apache versions 6.x avant 6.0.45, 7.x avant 7.0.68, 8.x
avant 8.0.31, et 9.x avant 9.0.0.M2, ne place pas
org.apache.catalina.manager.StatusManagerServlet dans la liste
/catalina/core/RestrictedServlets.properties dâ??org/apache. Cela permet à des
utilisateurs distants authentifiés de contourner les restrictions voulues de
SecurityManager et lire des requêtes HTTP arbitraires, et par la suite
découvrir les valeurs des ID de sessions, à l'aide d'une application web
contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0714";>CVE-2016-0714</a>

<p>Lâ??implémentation de la persistence de session dans Tomcat dâ??Apache
versions 6.x avant 6.0.45, 7.x avant 7.0.68, 8.x avant 8.0.31, et 9.x
avant 9.0.0.M2, ne gère pas correctement les attributs de session. Cela permet
à des utilisateurs distants authentifiés de contourner les restrictions
voulues de SecurityManager, et dâ??exécuter du code arbitraire dans un contexte
privilégié à l'aide d'un application web plaçant un objet contrefait dans une
session.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0763";>CVE-2016-0763</a>

<p>La méthode setGlobalContext dans org/apache/naming/factory
/ResourceLinkFactory.java dans Tomcat dâ??Apache ne tient pas compte si les
appelants de ResourceLinkFactory.setGlobalContext sont autorisés, permettant
à des utilisateurs distants authentifiés de contourner les restrictions
voulues de SecurityManager et de lire ou écrite les données arbitraires
dâ??application, ou de causer un déni de service (interruption dâ??application) à
l'aide d'une application web qui établit un contexte global contrefait.</p>
</li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 6.0.45-1~deb6u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tomcat6.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-435.data"
# $Id: dla-435.wml,v 1.1 2017/08/07 05:34:57 jptha-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Lâ??amont a publié la version 0.99. Avec elle, Sqeeze-lts est mise à niveau
vers la dernière publication en ligne de lâ??amont, en utilisant la même
approche que pour les autres distributions.</p>

<p>Les modifications ne sont pas strictement nécessaires pour une utilisation,
mais les utilisateurs de la version précédente dans Squeeze pourraient être
incapables dâ??utiliser toutes les signatures de virus actuelles, et pourraient
recevoir des avertissements.</p>

<p>En raison dâ??un changement dans le soname inclus dans cette publication,
libclamav a été mise à jour vers libclamav7. Cela requiert des mises à jour
pour les utilisations externes de libclamav. Pour python-clamav, klamav et
libclamunrar, ces changements sont, ou le seront très prochainement,
disponibles.</p>

<p>Malheureusement, pour dansguardian, le paquet a été publié pour Squeeze
avec des problèmes latents qui excluent sa reconstruction. Si vous utilisez
dansguardian, nâ??essayez pas de mettre à niveau vers le nouveau paquet clamav.
</p>

<p>Autrement, si vous utilisez clamav, nous vous recommandons de mettre à
niveau vers cette version.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-437.data"
# $Id: dla-437.wml,v 1.1 2017/08/07 05:34:57 jptha-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour corrige les CVE décrits ci-dessous.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8812";>CVE-2015-8812</a>

<p>Une faille a été découverte dans le pilote iw_cxgb3 d'Infiniband. � chaque
fois qu'il ne peut envoyer un paquet pour cause de saturation réseau, il
libère le tampon du paquet mais essaie plus tard de renvoyer le paquet. Cette
utilisation après libération peut amener un déni de service (plantage ou
suspension), une perte de données ou une augmentation de droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0774";>CVE-2016-0774</a>

<p>Il a été découvert que le correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2015-1805";>CVE-2015-1805</a>
dans les versions de noyau antérieures à Linux 3.16, ne gérait pas correctement
le cas d'une mauvaise lecture partielle atomique. Un utilisateur local sans
droit particulier pourrait utiliser ce défaut pour planter le système ou
divulguer de la mémoire noyau dans l'espace utilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2384";>CVE-2016-2384</a>

<p>Andrey Konovalov a découvert qu'un périphérique MIDI USB spécialement
préparé avec descripteur USB non valable peut déclencher une double
libération. Cela peut être utilisé par un utilisateur physiquement présent
pour obtenir une augmentation de droits.</p></li>

</ul>

<p>De plus elle corrige quelques vieux problèmes de sécurité sans référence
CVE :</p>

<p>Plusieurs API du noyau permettaient de lire ou écrire deux GiB de données
ou plus en un seul morceau, pouvant conduire à un dépassement
lorsquâ??appliquées à certains types de système de fichiers, de socket ou de
périphérique. Lâ??impact de sécurité complet nâ??a pas été évalué.</p>

<p>Enfin, il corrige une régression dans 2.6.32-48squeeze17 susceptible de
faire planter Samba dans quelques situations.</p>

<p>Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés
dans la version 2.6.32-48squeeze20. Il sâ??agit *vraiment* de la dernière mise à
jour du paquet linux-2.6 pour Squeeze.</p>

<p>Pour la distribution oldstable (Wheezy), le noyau nâ??était affecté par les
problèmes de dépassement dâ??entier et les problèmes restants seront corrigés
dans la version 3.2.73-2+deb7u3.</p>

<p>Pour la distribution stable (Jessie), le noyau nâ??était affecté par les
problèmes de dépassement dâ??entier ou
<a href="https://security-tracker.debian.org/tracker/CVE-2016-0774";>CVE-2016-0774</a>,
et les problèmes restants seront corrigés dans la
version 3.16.7-ckt20-1+deb8u4.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-439.data"
# $Id: dla-439.wml,v 1.1 2017/08/07 05:34:57 jptha-guest Exp $
Reply to: