[RFR] wml://security/2015/dla-16{5,6,7,8,9}.wml
Bonjour,
Voici 5 traductions de dla
165 inspiré de dsa-3169
166 de 3180
167 de 3168
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été corrigées dans eglibc, la version de
Debian de la bibliothèque GNU C.</p>
<ul>
<li>#553206,
<a href="https://security-tracker.debian.org/tracker/CVE-2015-1472";>CVE-2015-1472</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2015-1473";>CVE-2015-1473</a>
<p>La famille de fonctions scanf ne restreint pas correctement l'allocation
de pile. Cela permet à des attaquants selon le contexte de provoquer un déni
de service (plantage) ou éventuellement d'exécuter du code arbitraire.</p>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3405";>CVE-2012-3405</a>
<p>La famille de fonctions printf ne calcule pas correctement une taille de
tampon. Cela permet à des attaquants selon le contexte de contourner le
mécanisme de protection de chaîne de formatage FORTIFY_SOURCE et de
provoquer un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3406";>CVE-2012-3406</a>
<p>La famille de fonctions printf ne restreint pas correctement l'allocation
de pile. Cela permet à des attaquants selon le contexte de contourner le
mécanisme de protection de chaîne de formatage FORTIFY_SOURCE et de
provoquer un déni de service (plantage) ou éventuellement d'exécuter du code
arbitraire à l'aide d'une chaîne de formatage contrefaite.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-3480";>CVE-2012-3480</a>
<p>Plusieurs dépassement d'entiers dans les fonctions strtod, strtof,
strtold, strtod_l et d'autres fonctions liées permettent à des utilisateurs
locaux de provoquer un déni de service (plantage de l'application) et
éventuellement d'exécuter du code arbitraire à l'aide d'une longue chaîne
qui déclenche un dépassement de pile.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4412";>CVE-2012-4412</a>
<p>Un dépassement d'entier dans les fonctions strcoll et wcscoll permet Ã
des attaquants selon le contexte de provoquer un déni de service (plantage)
ou éventuellement d'exécuter du code arbitraire à l'aide d'une longue
chaîne qui déclenche un dépassement de tas.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4424";>CVE-2012-4424</a>
<p>Un dépassement de tampon de pile dans les fonctions strcoll et wcscoll
permet à des attaquants selon le contexte de provoquer un déni de service
(plantage) ou éventuellement d'exécuter du code arbitraire à l'aide d'une
longue chaîne qui déclenche un échec de malloc et utilise la fonction
alloca.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0242";>CVE-2013-0242</a>
<p>Un dépassement de tampon dans la fonction extend_buffers dans le
comparateur d'expressions rationnelles permet à des attaquants selon le
contexte de provoquer un déni de service (corruption de mémoire et plantage)
grâce à des caractères sur plusieurs octets contrefaits.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-1914";>CVE-2013-1914</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2013-4458";>CVE-2013-4458</a>
<p>Un dépassement de tampon de pile dans la fonction getaddrinfo permet Ã
des attaquants distants de provoquer un déni de service (plantage) à l'aide
d'un nom d'hôte ou d'une adresse IP qui déclenchent un grand nombre de
résultats de conversion de domaine.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4237";>CVE-2013-4237</a>
<p>readdir_r permet à des attaquants selon le contexte de provoquer un déni
de service (écriture hors limites et plantage) ou éventuellement d'exécuter
du code arbitraire à l'aide d'une image NTFS ou d'un service CIFS
malveillants.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4332";>CVE-2013-4332</a>
<p>Plusieurs dépassements d'entier dans malloc/malloc.c permettent à des
attaquants selon le contexte de provoquer un déni de service (corruption de
tas) Ã l'aide d'une grande valeur pour les fonctions pvalloc, valloc,
posix_memalign, memalign ou aligned_alloc.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4357";>CVE-2013-4357</a>
<p>Les fonctions getaliasbyname, getaliasbyname_r, getaddrinfo,
getservbyname, getservbyname_r, getservbyport, getservbyport_r et glob
ne restreignent pas correctement l'allocation de pile. Cela permet à des
attaquants selon le contexte de provoquer un déni de service (plantage)
ou éventuellement d'exécuter du code arbitraire.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4788";>CVE-2013-4788</a>
<p>Lorsque la bibliothèque GNU C est liée de façon statique à un exécutable,
l'implémentation de PTR_MANGLE n'initialise pas la valeur aléatoire de la
protection du pointeur, si bien que divers mécanismes de sécurisation ne
sont pas effectifs.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7423";>CVE-2013-7423</a>
<p>La fonction send_dg dans resolv/res_send.c ne réutilise pas correctement
les descripteurs de fichier. Cela permet à des attaquants distants d'envoyer
des requêtes DNS à des emplacements inattendus à l'aide d'un grand nombre de
requêtes qui déclenchent un appel à la fonction getaddrinfo.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7424";>CVE-2013-7424</a>
<p>La fonction getaddrinfo peut tenter de libérer un pointeur non valable
lors du traitement d'IDN (Internationalised Domain Names). Cela permet Ã
des attaquants distants de provoquer un déni de service (plantage) ou
éventuellement d'exécuter du code arbitraire.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4043";>CVE-2014-4043</a>
<p>La fonction posix_spawn_file_actions_addopen ne copie pas son argument de
chemin en accord avec les spécifications de POSIX. Cela permet à des
attaquants en fonction du contexte de déclencher des vulnérabilités
d'utilisation de mémoire après libération.</p></li>
</ul>
<p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés
dans la version 2.11.3-4+deb6u5.</p>
<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigé dans
les versions 2.13-38+deb7u8 ou antérieures.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-165.data"
# $Id: dla-165.wml,v 1.1 2017/08/11 23:51:28 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Alexander Cherepanov a découvert que bsdcpio, une implémentation de la
partie « cpio » du projet libarchive, est sujet à une vulnérabilité de
traversée de répertoires à l'aide de chemins absolus.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problème ont été corrigés dans
libarchive version 2.8.4.forreal-1+squeeze3</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-166.data"
# $Id: dla-166.wml,v 1.1 2017/08/11 23:51:29 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Kousuke Ebihara a découvert que redcloth, un module Ruby utilisé pour
convertir les balises Textile en HTML, ne vérifiait pas correctement ses
entrées. Cela permettait à un attaquant distant de réaliser une attaque par
script intersite en injectant du code JavaScript arbitraire dans le code
HTML généré.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans
redcloth version 4.2.2-1.1+deb6u1</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-167.data"
# $Id: dla-167.wml,v 1.1 2017/08/11 23:51:29 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Konversation, un client IRC pour KDE, pourrait planter à la réception de
messages malformés utilisant le chiffrement FiSH.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans
konversation version 1.3.1-2+deb6u1</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-168.data"
# $Id: dla-168.wml,v 1.1 2017/08/11 23:51:29 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été corrigée dans axis, une implémentation de SOAP
en Java :</p>
<p>La fonction getCN dans Apache Axis versions 1.4 et précédentes ne
vérifie pas correctement si le nom d'hôte du serveur correspond à un nom de
domaine dans les champs Common Name (CN) ou subjectAltName du sujet des
certificats X.509. Cela permet à des attaquants de type « homme du milieu »
d'usurper l'identité des serveurs SSL à l'aide d'un certificat avec un
sujet qui indique un « common name » dans un champ qui n'est pas le
champ CN.</p>
<p>Merci à Markus Koschany pour la fourniture du paquet corrigé, et à David
Jorm et Arun Neelicattu (Red Hat Product Security) pour la fourniture du
correctif.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans axis
version 1.4-12+deb6u1</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-169.data"
# $Id: dla-169.wml,v 1.1 2017/08/11 23:51:29 jipege1-guest Exp $
Reply to:
- Prev by Date:
[RFR] wml://security/2017/dsa-393{2,3,4,5,6}.wml
- Next by Date:
Re: [RFR] wml://security/2017/dsa-393{2,3,4,5,6}.wml
- Previous by thread:
[DONE] wml://security/2017/dsa-393{2,3,4,5,6}.wml
- Next by thread:
[LCFC] wml://security/2015/dla-16{5,6,7,8,9}.wml
- Index(es):