[RFR] wml://lts/security/2016/dla-56{0,1,2,3,4,5,6,7,7-2,8,9}.wml
- To: debian-l10n-french@lists.debian.org
- Subject: [RFR] wml://lts/security/2016/dla-56{0,1,2,3,4,5,6,7,7-2,8,9}.wml
- From: Jean-Pierre Giraud <jenapierregiraud75@free.fr>
- Date: Sun, 5 Jan 2020 01:07:46 +0100
- Message-id: <[🔎] 92818c8b-831f-6d95-4725-21cb5af37ba1@free.fr>
Bonjour,
quelques anciennes annonces de sécurité de plus.
Les textes en anglais sont ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-56x.wml
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une erreur de signe d’entier dans la fonction simplestring_addn dans
simplestring.c dans xmlrpc-epi jusqu'à la version 0.54.2 permet à des
attaquants distants de provoquer un déni de service (dépassement de tas) ou
éventuellement d'avoir un autre impact non précisé à l'aide d'un premier
argument long pour la fonction PHP xmlrpc_encode_request de PHP.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.54.2-1+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets xmlrpc-epi.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-569.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans WordPress, un outil de
blog. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie
les problèmes suivants.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5387";>CVE-2016-5387</a>
<p>WordPress permet à des attaquants distants de contourner des
restrictions d'accès voulues et de retirer un attribut de catégorie d'un
envoi à l'aide de vecteurs non précisés.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5832";>CVE-2016-5832</a>
<p>L'outil de personnalisation dans WordPress permet à des attaquants
distants de contourner des restrictions de redirection voulues à l'aide de
vecteurs non précisés.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5834";>CVE-2016-5834</a>
<p>Une vulnérabilité de script intersite (XSS) dans la fonction
wp_get_attachment_link dans wp-includes/post-template.php dans WordPress
permet à des attaquants distants d'injecter un script web arbitraire ou du
code HTML à l'aide d'un nom de pièce jointe contrefait.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5835";>CVE-2016-5835</a>
<p>WordPress permet à des attaquants distants d'obtenir des informations
sensibles de l'historique des modifications en exploitant la capacité de
lire un envoi liée à wp-admin/includes/ajax-actions.php et
wp-admin/revision.php.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5838";>CVE-2016-5838</a>
<p>WordPress permet à des attaquants distants de contourner des
restrictions voulues de modification de mot de passe en exploitant la
connaissance d'un cookie.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5839";>CVE-2016-5839</a>
<p>WordPress permet à des attaquants distants de contourner le mécanisme de
protection sanitize_file_name à l'aide de vecteurs non précisés.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.6.1+dfsg-1~deb7u11.</p>
<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-568.data"
# $Id: $
#use wml::debian::translation-check translation="0e9af03d8cf68ff5ddec5d25a056c8dacce03437" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans le serveur de base de données
MySQL. Les vulnérabilités sont corrigées en mettant MySQL à niveau vers la
nouvelle version amont 5.5.50. Veuillez consulter les notes de publication
de MySQL 5.5 et les annonces de mises à jour critiques d'Oracle pour de plus
amples détails :</p>
<ul>
<li><a href="https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-50.html";>\
https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-50.html</a></li>
<li><a href="http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html";>\
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html</a></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 5.5.50-0+deb7u2.</p>
<p>Note de régression : j'ai construit à tort l'envoi précédent
de 5.5.50-0+deb7u1 avec l'empaquetage de Debian jessie-security. Bien
qu'aucun problème n'ait été identifié sur amd64, j'ai envoyé une nouvelle
version construite avec l'empaquetage normal de Wheezy.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mysql-5.5.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-567-2.data"
# $Id: $
#use wml::debian::translation-check translation="c30f013d5525d0fafda7ce9b0b34af66ecaf8faa" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans le serveur de base de données
MySQL. Les vulnérabilités sont corrigées en mettant MySQL à niveau vers la
nouvelle version amont 5.5.50. Veuillez consulter les notes de publication
de MySQL 5.5 et les annonces de mises à jour critiques d'Oracle pour de plus
amples détails :</p>
<ul>
<li><a href="https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-50.html";>\
https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-50.html</a></li>
<li><a href="http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html";>\
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html</a></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 5.5.50-0+deb7u2.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-567.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>CakePHP, une infrastructure d'application web open-source pour PHP,
était vulnérable à des attaques de contrefaçon de requête côté serveur
(« server-side request forgery », SSRF). Un attaquant distant peut utiliser
cela pour, au minimum, des attaques par déni de service (« DoS »), si
l'application cible accepte du code XML en entrée. Cela est provoqué par la
conception non sûre de la classe Xml de Cake.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.3.15-1+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets cakephp.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-566.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans l'implémentation du
langage de programmation Perl. Le projet « Common Vulnerabilities and
Exposures » (CVE) identifie les problèmes suivants.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1238";>CVE-2016-1238</a>
<p>John Lightsey et Todd Rinaldo ont signalé que le chargement opportuniste
de modules optionnels peut provoquer le chargement involontaire de code par
de nombreux programmes à partir du répertoire de travail courant (qui
pourrait être changé pour un autre répertoire sans que l'utilisateur s'en
rende compte) et éventuellement mène à une élévation de privilèges, comme
cela a été démontré dans Debian avec certaines combinaisons de paquets
installés.</p>
<p>Le problème est lié au chargement de modules par Perl à partir du
tableau de répertoires « includes » (@INC) dans lequel le dernier élément
est le répertoire courant (« . »). Cela signifie que, quand <q>perl</q>
souhaite charger un module (lors d'une première compilation ou du
chargement différé d'un module durant l'exécution), Perl cherche finalement
le module dans le répertoire courant, dans la mesure où « . » est le
dernier répertoire inclus dans son tableau de répertoires inclus à
explorer. Le problème vient de la demande de bibliothèques qui sont dans
« . » mais qui ne sont pas autrement installées.</p>
<p>Avec cette mise à jour, plusieurs modules qui sont connus pour être
vulnérables sont mis à jour pour ne pas charger de modules à partir du
répertoire courant.</p>
<p>En complément, la mise à jour permet le retrait configurable de « . » de
@INC dans /etc/perl/sitecustomize.pl pour une période de transition. Il est
recommandé d'activer ce réglage si la casse potentielle d'un site
particulier a été supputée. Les problèmes dans les paquets fournis dans
Debian résultant du passage au retrait de « . » dans @INC doivent être
signalés aux mainteneurs de Perl à l'adresse perl@packages.debian.org.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6185";>CVE-2016-6185</a>
<p>XSLoader, un module essentiel de Perl pour le chargement dynamique de
bibliothèques C dans le code de Perl, pourrait charger une bibliothèque
partagée à partir d'un emplacement incorrect. XSLoader utilise les
informations de caller() pour localiser le fichier .so à charger. Cela peut
être incorrect si XSLoader::load() est appelé dans une évaluation de chaîne.
Un attaquant peut tirer avantage de ce défaut pour exécuter du code
arbitraire.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 5.14.2-21+deb7u4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets perl.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-565.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans tardiff :</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0857";>CVE-2015-0857</a>
<p>L'exécution de commande arbitraire était possible grâce à des
métacaractères de l'interpréteur dans le nom (1) d'un fichier tar ou (2)
d'un fichier à l'intérieur d'un fichier tar.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0858";>CVE-2015-0858</a>
<p>Des utilisateurs locaux pourraient écrire dans des fichiers arbitraires
à l'aide d'une attaque par lien symbolique sur un nom de chemin dans un
répertoire temporaire /tmp/tardiff-$$.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.1-1+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tardiff.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-564.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une lecture globale hors limites lors de l'encodage gif à partir d'une
entrée mal formée a été découverte dans ce logiciel.</p>
<p>Quand des entrées non valables sont données, la balise EOF pourrait être
fournie avant que ce soit réellement la fin du fichier. La logique de gif
considère, une fois qu'elle a vu la balise EOF, qu'il n'y a plus de
données, elle laisse ainsi éventuellement un index cur_bits négatif. Aussi,
quand d'autres données sont reçues, il se produit un dépassement par le bas
de la table de masques.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.0.36~rc1~dfsg-6.1+deb7u5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libgd2.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-563.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>GOsa² est le regroupement d'une interface web commune d’administration
système et d’utilisateur final pour gérer les configurations basées sur
LDAP.</p>
<p>Une vulnérabilité d'injection de code dans le code du greffon Samba de
GOsa a été découverte. Durant la modification de mots de passe de Samba, il
était possible d'injecter du code Perl malveillant.</p>
<p>Si vous mettez à niveau vers cette révision corrigée du paquet, veuillez
noter que la modification des mots de passe de Samba ne fonctionnera plus
jusqu'à ce que le paramètre sambaHashHook dans gosa.conf ait été mis à jour
pour accepter des chaînes de mot de passe codées en base 64.</p>
<p>Veuillez lire la page de manuel gosa.conf(5) après la mise à niveau vers
cette révision du paquet et adaptez gosa.conf comme cela est décrit.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.7.4-4.3~deb7u3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets gosa.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-562.data"
# $Id: $
#use wml::debian::translation-check translation="fce40adff1381ed16a3e5ebae7ad1ff8fcbbb739" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans uClibc, une
implémentation de la bibliothèque C standard, beaucoup plus petite que
glibc, ce qui la rend utile pour les systèmes embarqués.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2224";>CVE-2016-2224</a>
<p>Correction d'un déni de service potentiel à l'aide d'une réponse DNS
contrefaite pour l'occasion qui pourrait provoquer une boucle infinie.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2225";>CVE-2016-2225</a>
<p>Correction d'un déni de service potentiel à l'aide d'un paquet
contrefait pour l'occasion qui fera que l'analyseur dans libc/inet/resolv.c
s'arrêtera prématurément.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6264";>CVE-2016-6264</a>
<p>Il a été découvert que l'instruction <q>BLT</q> dans la vérification
des valeurs signées de libc/string/arm/memset.S. Si le paramètre de memset
est négatif, alors, la valeur ajoutée au PC sera grande. Un attaquant qui
contrôle le paramètre de largeur de memset peut aussi contrôler la valeur
du registre PC.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.9.32-1+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets uclibc.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-561.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Trois problèmes de sécurité ont été découverts dans cacti :</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2313";>CVE-2016-2313</a>
<p>auth_login.php permet à des utilisateurs distants authentifiés qui
utilisent l'authentification web de contourner des restrictions d'accès
voulues en se connectant comme un utilisateur absent de la base de données
de cacti.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3172";>CVE-2016-3172</a>
<p>Une vulnérabilité d'injection SQL dans tree.php permet à des
utilisateurs distants authentifiés d'exécuter des commandes SQL arbitraires
à l'aide du paramètre parent_id dans une action item_edit.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-3659";>CVE-2016-3659</a>
<p>Une vulnérabilité d'injection SQL dans graph_view.php permet à des
utilisateurs distants authentifiés d'exécuter des commandes SQL arbitraires
à l'aide du paramètre host_group_data.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.8.8a+dfsg-5+deb7u9.</p>
<p>Nous vous recommandons de mettre à jour vos paquets cacti.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-560.data"
# $Id: $
Reply to:
- Follow-Ups:
- Re: [RFR] wml://lts/security/2016/dla-56{0,1,2,3,4,5,6,7,7-2,8,9}.wml
- From: JP Guillonneau <guillonneau.jeanpaul@free.fr>
- Prev by Date:
[LCFC] wml://lts/security/2019/dla-20{46,48}.wml
- Next by Date:
[RFR] wml://lts/security/2016/dla-560-2.wml
- Previous by thread:
[DONE] wml://lts/security/2019/dla-20{46,48}.wml
- Next by thread:
Re: [RFR] wml://lts/security/2016/dla-56{0,1,2,3,4,5,6,7,7-2,8,9}.wml
- Index(es):