[RFR2] wml://lts/security/2016/dla-57{0,1,2,3,4,5,5-2,6,7,8,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

Le 03/01/2020 à 21:22, JP Guillonneau a écrit :
> Bonjour,
>
> suggestions.
>
> Amicalement.
>
> --
> Jean-Paul

C'est corrigé. De nouvelles relectures ?

Amicalement,

jipege

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il est signalé qu'OpenSSH, le client et serveur Secure Shell, avait un
problème d'énumération d'utilisateurs.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6210";>CVE-2016-6210</a>

<p>Énumération d'utilisateurs au moyen d'un canal temporel caché</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 6.0p1-4+deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openssh.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-578.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution
complète de virtualisation sur les machines x86.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5239";>CVE-2015-5239</a>

<p>Lian Yihan a découvert que QEMU gérait incorrectement certaines charges
utiles de message dans le pilote d'affichage de VNC. Un client malveillant
pourrait utiliser ce problème pour provoquer le blocage du processus de
QEMU, avec pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2857";>CVE-2016-2857</a>

<p>Ling Liu a découvert que QEMU gérait incorrectement les routines de
sommes de contrôle IP. Un attaquant dans le client pourrait utiliser ce
problème pour provoquer le plantage de QEMU, avec pour conséquence un déni
de service, ou éventuellement la divulgation d'octets de la mémoire de
l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4020";>CVE-2016-4020</a>

<p>Donghai Zdh a découvert que QEMU gérait incorrectement le TPR (Task
Priority Register). Un attaquant privilégié dans le client pourrait
utiliser ce problème pour éventuellement la divulgation d'octets de la
mémoire de l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4439";>CVE-2016-4439</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-6351";>CVE-2016-6351</a>

<p>Li Qiang a découvert que l'émulation du contrôleur Fast SCSI
(FSC) 53C9X est affectée par des problèmes d'accès hors limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5403";>CVE-2016-5403</a>

<p>Zhenhao Hong a découvert qu'un administrateur client malveillant peut
provoquer une allocation de mémoire illimitée dans QEMU (ce qui peut
provoquer une condition d'épuisement de mémoire) en soumettant des requêtes
virtio sans prendre la peine d'attendre leur achèvement.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u14.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-574.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans QEMU, un émulateur de
processeur rapide.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5239";>CVE-2015-5239</a>

<p>Lian Yihan a découvert que QEMU gérait incorrectement certaines charges
utiles de message dans le pilote d'affichage de VNC. Un client malveillant
pourrait utiliser ce problème pour provoquer le blocage du processus de
QEMU, avec pour conséquence un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2857";>CVE-2016-2857</a>

<p>Ling Liu a découvert que QEMU gérait incorrectement les routines de
sommes de contrôle IP. Un attaquant dans le client pourrait utiliser ce
problème pour provoquer le plantage de QEMU, avec pour conséquence un déni
de service, ou éventuellement la divulgation d'octets de la mémoire de
l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4020";>CVE-2016-4020</a>

<p>Donghai Zdh a découvert que QEMU gérait incorrectement le TPR (Task
Priority Register). Un attaquant privilégié dans le client pourrait
utiliser ce problème pour éventuellement la divulgation d'octets de la
mémoire de l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4439";>CVE-2016-4439</a>

<p>, <a href="https://security-tracker.debian.org/tracker/CVE-2016-6351";>CVE-2016-6351</a></p>

<p>Li Qiang a découvert que l'émulation du contrôleur Fast SCSI
(FSC) 53C9X est affectée par des problèmes d'accès hors limites.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5403";>CVE-2016-5403</a>

<p>Zhenhao Hong a découvert qu'un administrateur client malveillant peut
provoquer une allocation de mémoire illimitée dans QEMU (ce qui peut
provoquer une condition d'épuisement de mémoire) en soumettant des requêtes
virtio sans prendre la peine d'attendre leur achèvement.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u14.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-573.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen. Le
projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3672";>CVE-2014-3672</a> (XSA-180)

<p>Andrew Sorensen a découvert qu'un domaine HVM peut épuiser l'espace
disque des hôtes en le remplissant du fichier journal.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3158";>CVE-2016-3158</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3159";>CVE-2016-3159</a> (XSA-172)

<p>Jan Beulich de SUSE a découvert que Xen ne gérait pas correctement les
écritures du bit FSW.ES du matériel lors de l'exécution sur des
processeurs AMD64. Un domaine malveillant peut tirer avantage de ce défaut
pour obtenir des informations sur l'utilisation de l'espace d'adresse et la
synchronisation d'un autre domaine, à un coût relativement faible.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3710";>CVE-2016-3710</a> (XSA-179)

<p>Wei Xiao et Qinghao Tang de 360.cn Inc ont découvert un défaut de
lecture et d'écriture hors limites dans le module VGA de QEMU. Un
utilisateur client privilégié pourrait utiliser ce défaut pour exécuter du
code arbitraire sur l'hôte avec les privilèges du processus hôte de QEMU.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3712";>CVE-2016-3712</a> (XSA-179)

<p>Zuozhi Fzz de Alibaba Inc a découvert de possibles problèmes de
dépassement d'entier ou d'accès en lecture hors limites dans le module VGA
de QEMU. Un utilisateur client privilégié pourrait utiliser ce défaut pour
monter un déni de service (plantage du processus de QEMU).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3960";>CVE-2016-3960</a> (XSA-173)

<p>Ling Liu et Yihan Lian de l'équipe Cloud Security de Qihoo 360 ont
découvert un dépassement d'entier dans le code de la table des pages
miroir x86. Un client HVM utilisant des tables des pages miroir peut faire
planter l'hôte. Un client PV utilisant des tables des pages miroir
(c'est-à-dire ayant été migrées) avec des superpages PV activées (ce qui
n'est pas le cas par défaut) peut faire planter l'hôte, ou corrompre la
mémoire de l'hyperviseur, menant éventuellement à une élévation de
privilèges.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4480";>CVE-2016-4480</a> (XSA-176)

<p>Jan Beulich a découvert qu'un traitement incorrect de table des pages
pourrait avoir pour conséquence une augmentation de droits dans une
instance de client Xen.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6258";>CVE-2016-6258</a> (XSA-182)

<p>Jeremie Boutoille a découvert qu'un traitement incorrect de table des
pages dans des instances paravirtuelles (PV) pourrait avoir pour conséquence
une augmentation de droits du client vers l'hôte.</p></li>

<li>En complément, cette annonce de sécurité de Xen sans référence CVE a
été corrigée : XSA-166

<p>Konrad Rzeszutek Wilk et Jan Beulich ont découvert que le traitement
d'ioreq est éventuellement vulnérable à un problème de lectures multiples.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.1.6.lts1-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xen.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-571.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il était possible de piéger la fonction KArchiveDirectory::copyTo() de
kde4libs dans l'extraction de fichiers vers des emplacements arbitraires du
système à partir d'un fichier tar préparé pour l'occasion, en dehors du
dossier d'extraction.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4:4.8.4-4+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets kde4libs.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-570.data"
# $Id: $