[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2016/dla-41{0,1,2,6,7,8,9}.wml

Bonjour,

le dimanche 06 août  0:16, jean-pierre giraud a écrit :

>Quelques suggestions.
Merci, corrigés.
D’autres relectures ?

Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une
implémentation de la plateforme Java d'Oracle, avec pour conséquence des fuites
du bac à sable Java, la divulgation d'informations, un déni de service ou un
chiffrement non sûr.</p><ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7575";>CVE-2015-7575</a>

<p>Un défaut a été découvert dans la façon dont TLS 1.2 pourrait utiliser la
fonction de hachage MD5 lors de la signature de paquets ServerKeyExchange et
d'authentification du client pendant lâ??initialisation de connexion TLS.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8126";>CVE-2015-8126</a>

<p>Plusieurs dépassements de tampon dans les fonctions, (1) png_set_PLTE et
(2) png_get_PLTE, dans les versions de libpng avant 1.0.64, 1.1.x, 1.2.x avant
1.2.54, 1.3.x, 1.4.x avant 1.4.17, 1.5.x avant 1.5.24 et 1.6.x avant 1.6.19,
permettent à des attaquants distants de provoquer un déni de service (plantage
d'application) ou éventuellement dâ??avoir dâ??autres impacts non précisés, à
lâ??aide d'une faible valeur de profondeur de couleurs dans un tronçon dâ??IHDR
(c'est-à-dire, d'en-tête dâ??image) dâ??une image PNG.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8472";>CVE-2015-8472</a>

<p>Un dépassement de tampon dans la fonction png_set_PLTE des versions de
libpng avant 1.0.65, 1.1.x, 1.2.x avant 1.2.55, 1.3.x, 1.4.x avant 1.4.18,
1.5.x avant 1.5.25 et 1.6.x avant 1.6.20, permet à des attaquants distants de
provoquer un déni de service (plantage d'application) ou éventuellement dâ??avoir
dâ??autres impacts non précisés, à lâ??aide d'une faible valeur de profondeur de
couleurs dans un tronçon dâ??IHDR (c'est-à-dire, d'en-tête dâ??image) dâ??une image
PNG. REMARQUE : cette vulnérabilité existe à cause dâ??un correctif incomplet
pour <a href="https://security-tracker.debian.org/tracker/CVE-2015-8126";>CVE-2015-8126</a>.
</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0402";>CVE-2016-0402</a>

<p>Une vulnérabilité non précisée dans les composants Java SE et Java SE
Embedded dâ??Oracle Java SE 6u105, 7u91 et 8u66 et Java SE
Embedded 8u65, permet aux attaquants distants dâ??affecter lâ??intégrité à lâ??aide
de moyens non connus relatifs au réseautage.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0448";>CVE-2016-0448</a>

<p>Une vulnérabilité non précisée dans les composants Java SE et Java SE
Embedded dâ??Oracle Java SE 6u105, 7u91 et 8u66 et Java SE
Embedded 8u65, permet à des utilisateurs distants dâ??affecter la confidentialité
à lâ??aide de moyens relatifs à JMX.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0466";>CVE-2016-0466</a>

<p>Le composant JAXP dans OpenJDK nâ??impose pas correctement la limite
totalEntitySizeLimit. Un attaquant pouvant faire quâ??une application Java
traite un fichier XML contrefait pour l'occasion pourrait utiliser ce défaut
pour consommer excessivement de la mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0483";>CVE-2016-0483</a>

<p>Une vulnérabilité non précisée dans les composants Java SE et Java SE
Embedded dâ??Oracle Java SE 6u105, 7u91 et 8u66 et Java SE
Embedded 8u65, et JRockit R28.3.8 permet à des attaquants distants dâ??affecter les
confidentialité, intégrité et disponibilité à lâ??aide de moyens relatifs à AWT.
</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0494";>CVE-2016-0494</a>

<p>Une vulnérabilité non précisée dans les composants Java SE et Java SE pour
lâ??embarqué des éditions dâ??Oracle Java SE 6u105, 7u91 et 8u66 et Java SE
Embedded 8u65, permet aux attaquants distants dâ??affecter la confidentialité,
l'intégrité et la disponibilité à lâ??aide de moyens relatifs à 2D.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été résolus dans la
version 6b38-1.13.10-1~deb6u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openjdk-6.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-410.data"
# $Id: dla-410.wml,v 1.2 2017/08/09 20:37:15 jptha-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été corrigées dans la bibliothèque GNU C de
Debian, eglibc :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9761";>CVE-2014-9761</a>

<p>La fonction mathématique nan* ne gère pas correctement les chaînes de charge
utile, produisant une allocation de tas non limitée, basée sur la longueur des
arguments. Pour résoudre ce problème, lâ??analyse de la charge utile a été
réécrite hors de strtod dans une fonction séparée que nan* peut appeler
directement.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8776";>CVE-2015-8776</a>

<p>La fonction strftime() fait quâ??il est possible dâ??accéder à de la mémoire non
valable, permettant une erreur de segmentation dans lâ??application appelante.
</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8778";>CVE-2015-8778</a>

<p>Hcreate() était vulnérable à un dépassement d'entier, permettant un accès
hors limites du tas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8779";>CVE-2015-8779</a>

<p>La fonction catopen() souffrait de plusieurs allocations de pile non
limitées.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version eglibc_2.11.3-4+deb6u9 de eglibc. Nous vous recommandons de mettre à
jour vos paquets eglibc.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-411.data"
# $Id: dla-411.wml,v 1.2 2017/08/09 20:37:15 jptha-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour corrige les CVE décrits ci-dessous :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7566";>CVE-2015-7566</a>

    <p>Ralf Spenneberg d'OpenSource Security a signalé que le pilote visor
    plante lorsqu'un périphérique USB contrefait pour l'occasion, sans terminaison
    de sortie « bulk », est détecté.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8767";>CVE-2015-8767</a>

    <p>Un déni de service de SCTP a été découvert, qui peut être déclenché par un
    attaquant local durant un évènement de dépassement de délai pour un signal
    de surveillance (« Heartbeat Timeout ») après une initiation de connexion de
    type « 4-way ».</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8785";>CVE-2015-8785</a>

    <p>Il a été découvert que des utilisateurs locaux autorisés à écrire dans
    un fichier d'un système de fichiers FUSE pourraient provoquer un déni de
    service (boucle infinie dans le noyau).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0723";>CVE-2016-0723</a>

    <p>Une vulnérabilité dâ??utilisation de mémoire après libération a été
     découverte dans lâ??ioctl TIOCGETD . Un attaquant local pourrait utiliser
     ce défaut pour créer un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2069";>CVE-2016-2069</a>

    <p>Andy Lutomirski a découvert une situation de compétition dans le
    nettoyage du TLB lors de changement de tâches. Sur un système SMP, cela
    peut conduire à un plantage, une fuite d'information ou une augmentation
    de droits.</p></li>

</ul>

<p>Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés
dans la version 2.6.32-48squeeze19. De plus, cette version fournit la
version 2.6.32.70 stable mise à jour par lâ??amont. Il sâ??agit de la dernière mise
à jour du paquet linux-2.6 pour Squeeze.</p>

<p>Pour la distribution oldstable (Wheezy), ces problèmes seront corrigés
prochainement.</p>

<p>Pour la distribution stable (Jessie),
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7566";>CVE-2015-7566</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2015-8767";>CVE-2015-8767</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2016-0723";>CVE-2016-0723</a>
ont été corrigés dans la version 3.16.7-ckt20-1+deb8u3 du paquet linux et les
problèmes restants seront corrigés bientôt.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-412.data"
# $Id: dla-412.wml,v 1.2 2017/08/09 20:37:16 jptha-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été corrigées dans eglibc, la bibliothèque C
de GNU :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7547";>CVE-2015-7547</a>

<p>L'équipe de sécurité de Google et Red Hat ont découvert que la fonction
eglibc de résolution de noms d'hôte, getaddrinfo, lors du traitement de
requêtes AF_UNSPEC (pour les recherches duales A/AAAA), pourrait mal gérer
ses tampons internes, menant à un dépassement de pile et à l'exécution de code
arbitraire. Cette vulnérabilité affecte la plupart des applications réalisant
la résolution de noms d'hôte avec getaddrinfo, dont les services système.</p>

<p>Les vulnérabilités suivantes corrigées nâ??ont pas encore dâ??affectation CVE :</p>

<p>Andreas Schwab a signalé une fuite de mémoire (allocation de mémoire
sans libération correspondante) lors du traitement de certaines réponses DNS
dans getaddrinfo, lié à la fonction _nss_dns_gethostbyname4_r. Cette
vulnérabilité pourrait conduire à un déni de service.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version eglibc_2.11.3-4+deb6u11 de eglibc. De plus cette version corrige le
correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2014-9761";>CVE-2014-9761</a>
dans Squeeze, qui avait marqué quelques symboles comme publics au lieu de
privés.</p>

<p>Même sâ??il est seulement nécessaire de sâ??assurer que tous les processus
nâ??utilisent plus lâ??ancienne eglibc, il est recommandé de redémarrer les
machines après la mise à niveau de sécurité.</p>

<p>Nous vous recommandons de mettre à jour vos paquets eglibc.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-416.data"
# $Id: dla-416.wml,v 1.2 2017/08/09 20:37:17 jptha-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les versions 4.4.1 et précédentes sont affectées par deux problèmes de
sécurité : une vulnérabilité possible de contrefaçon de requête côté serveur
(« server-side request forgery ») pour certains URI locaux, signalée par Ronni
Skansin et une vulnérabilité de redirection non contrôlée, signalée par
Shailesh Suthar.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2221";>CVE-2016-2221</a>

<p>Wordpress pourrait être vulnérable à une attaque de redirection non contrôlée
qui a été corrigée par une meilleure validation de lâ??URL utilisé dans les
redirections HTTP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2222";>CVE-2016-2222</a>

<p>Wordpress était sensible à une vulnérabilité de contrefaçon de requête,
par exemple, il pourrait considérer 0.1.2.3 comme une IP valable.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ce problème a été corrigé dans la
version 3.6.1+dfsg-1~deb6u9.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-418.data"
# $Id: dla-418.wml,v 1.2 2017/08/09 20:37:17 jptha-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Gtk+2.0, une bibliothèque dâ??interface pour lâ??utilisateur, était vulnérable
à un dépassement d'entier dans sa fonction gdk_cairo_set_source_pixbuf lors de
lâ??allocation de grands blocs de mémoire.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ce problème a été corrigé dans la
version 2.20.1-2+deb6u1 de gtk+2.0. Nous vous recommandons de mettre à jour
vos paquets gtk+2.0.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-419.data"
# $Id: dla-419.wml,v 1.2 2017/08/09 20:37:17 jptha-guest Exp $
Reply to: