[RFR2] wml://security/2017/dsa-4016.wml
Bonjour,
Le 04/11/2017 à 14:22, JP Guillonneau a écrit :
> Bonjour,
> suggestions.
> Amicalement.
> --
> Jean-Paul
Corrigé. Merci pour vos nouvelles relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Irssi, un client IRC
en mode terminal. Le projet « Common Vulnerabilities and Exposures » (CVE)
identifie les problèmes suivants.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10965";>CVE-2017-10965</a>
<p>Brian <q>geeknik</q> Carpenter de Geeknik Labs a découvert que Irssi ne
gère pas correctement la réception de messages avec des estampilles
temporelles non valables. Un serveur IRC malveillant peut tirer avantage de
ce défaut pour provoquer le plantage de Irssi, avec pour conséquence un déni
de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10966";>CVE-2017-10966</a>
<p>Brian <q>geeknik</q> Carpenter de Geeknik Labs a découvert que Irssi est
vulnérable à un défaut d'utilisation de mémoire après libération déclenchée
lors de la mise à jour de la liste interne de pseudonymes. Un serveur IRC
malveillant peut tirer avantage de ce défaut pour provoquer le plantage
de Irssi, avec pour conséquence un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15227";>CVE-2017-15227</a>
<p>Joseph Bisch a découvert que lors de l'attente de la synchronisation de
canal, Irssi peut, indûment, négliger de retirer les canaux supprimés de
la liste de requêtes, avec pour conséquence des conditions d'utilisation de
mémoire après libération lors de la mise à jour ultérieure de l'état. Un
serveur IRC malveillant peut tirer avantage de ce défaut pour provoquer le
plantage de Irssi, avec pour conséquence un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15228";>CVE-2017-15228</a>
<p>Hanno Boeck a signalé que Irssi ne gère pas correctement l'installation
de thèmes avec des séquences de formatage de couleur sans terminaison,
menant à un déni de service si un utilisateur est piégé dans l'installation
d'un thème contrefait pour l'occasion.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15721";>CVE-2017-15721</a>
<p>Joseph Bisch a découvert que Irssi ne gère pas correctement des messages
DCC CTCP incorrectement formatés. Un attaquant distant peut tirer avantage
de ce défaut pour provoquer le plantage de Irssi, avec pour conséquence un
déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15722";>CVE-2017-15722</a>
<p>Joseph Bisch a découvert que Irssi ne vérifie pas correctement les
identifiants de canal sûr (« Safe channel »). Un serveur IRC malveillant
peut tirer avantage de ce défaut pour provoquer le plantage de Irssi, avec
pour conséquence un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15723";>CVE-2017-15723</a>
<p>Joseph Bisch a signalé que Irssi ne gère pas correctement les cibles ou
les pseudonymes trop longs avec pour conséquence un déréférencement de
pointeur NULL lors du découpage du message et menant à un déni de service.</p></li>
</ul>
<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 0.8.17-1+deb8u5.</p>
<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 1.0.2-1+deb9u3.
<a href="https://security-tracker.debian.org/tracker/CVE-2017-10965";>CVE-2017-10965</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2017-10966";>CVE-2017-10966</a>
ont déjà été corrigés dans une version intermédiaire précédente.</p>
<p>Nous vous recommandons de mettre à jour vos paquets irssi.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-4016.data"
# $Id: dsa-4016.wml,v 1.3 2017/11/05 10:41:21 jipege1-guest Exp $
Reply to: