[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2017/dsa-376{2,3,4}.wml

Bonjour,
trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans pdns, un serveur DNS
faisant autorité.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2120";>CVE-2016-2120</a>

<p>Mathieu Lafon a découvert que pdns ne valide pas correctement les
informations dans les zones. Un utilisateur autorisé peut tirer avantage de
ce défaut pour faire planter le serveur en insérant une information
contrefaite pour l'occasion dans une zone sous son contrôle, puis en
envoyant une requête DNS sur cette information.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7068";>CVE-2016-7068</a>

<p>Florian Heinz et Martin Kluge ont signalé que pdns analyse toutes les
informations présentes dans une requête indépendamment du fait qu'elles
sont nécessaires ou même légitimes, permettant à un attaquant distant,
non-authentifié, de provoquer une charge d'utilisation anormale du
processeur sur le serveur pdns, ayant pour conséquence un déni de service
partiel si le système devient surchargé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7072";>CVE-2016-7072</a>

<p>Mongo a découvert que le serveur web dans pdns est vulnérable à un déni
de service, permettant à un attaquant distant, non-authentifié, de
provoquer un déni de service en ouvrant un grand nombre de connexions TCP
sur le serveur web.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7073";>CVE-2016-7073</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-7074";>CVE-2016-7074</a>

<p>Mongo a découvert que pdns ne valide pas suffisamment les signatures
TSIG, permettant à un attaquant dans la position « d'homme du milieu »
d'altérer le contenu d'un transfert de zone DNS (« AXFR »).</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.4.1-4+deb8u7.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.2-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets pdns.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3764.data"
# $Id: dsa-3764.wml,v 1.1 2017/01/17 17:59:11 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Florian Heinz et Martin Kluge ont signalé que pdns-recursor, un serveur
de DNS récursif, analyse toutes les informations présentes dans une requête
indépendamment du fait qu'elles sont nécessaires ou même légitimes,
permettant à un attaquant distant, non-authentifié, de provoquer une charge
d'utilisation anormale du processeur sur le serveur pdns, ayant pour
conséquence un déni de service partiel si le système devient surchargé.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.6.2-2+deb8u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets pdns-recursor.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3763.data"
# $Id: dsa-3763.wml,v 1.1 2017/01/17 17:59:11 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans la bibliothèque
libtiff et les outils inclus tiff2rgba, rgb2ycbcr, tiffcp, tiffcrop,
tiff2pdf et tiffsplit, qui peuvent avoir pour conséquence un déni de
service, une divulgation de mémoire ou l'exécution de code arbitraire.</p>

<p>Il existe des vulnérabilités supplémentaires dans les outils bmp2tiff,
gif2tiff, thumbnail et ras2tiff, mais comme elles ont été réglées par les
développeurs de libtiff en supprimant tous les outils, il n'y a pas de
correctif disponible, et ces outils ont aussi été supprimés du paquet tiff
dans Debian stable. Cette modification avait déjà été réalisée auparavant
dans Debian Stretch et aucune application fournie par Debian n'est connue
pour dépendre de ces scripts. Si vous utilisez ces outils dans des
configurations personnalisés, vous devriez envisager d'utiliser d'autres
outils pour les conversions et la fabrication de miniatures.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.0.3-12.3+deb8u2.</p>

<p>Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 4.0.7-4.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.7-4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tiff.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3762.data"
# $Id: dsa-3762.wml,v 1.1 2017/01/17 17:59:11 jipege1-guest Exp $
Reply to: