[RFR] wml://lts/security/2016/dla-58{0,1,2,3,4,5,6,7,8,8-2,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-58x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Un défaut a été découvert dans la fonction pdf_load_mesh_params()
permettant un accès en écriture hors limites à des emplacements de mémoire.
Avec une entrée soigneusement contrefait, cela pourrait déclencher un
dépassement de tas, ayant pour conséquence un plantage de l'application ou
éventuellement un autre impact non indiqué.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.9-2+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mupdf.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-589.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Voici une mise à jour de la DLA-558-1. La construction précédente
portait un numéro de révision considéré comme inférieur à celui dans Wheezy
et par conséquent n'a été pas installée lors de la mise à niveau.</p>

<p>Le texte de la DLA-558-1 est inclus pour référence (avec quelques
améliorations).</p>

<p>Deux problèmes de sécurité ont été découverts dans le paquet mongodb,
liés à la journalisation.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6494";>CVE-2016-6494</a>

<p>fichier d'historique .dbshell lisible par tous</p></li>

<li>Bogue Debian n° 833087

<p>authentification par question-réponse vulnérable à des attaques par
force brute dans un fichier journal non protégé</p></li>
</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.0.6-1.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mongodb.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-588-2.data"
# $Id: $

#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux problèmes de sécurité ont été découverts dans le paquet mongodb,
liés à la journalisation.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6494";>CVE-2016-6494</a>

<p>fichier d'historique .dbshell lisible par tous</p></li>

<li>TEMP-0833087-C5410D

<p>authentification par question-réponse vulnérable à des attaques par
force brute dans un fichier journal non protégé</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.0.6-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mongodb.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-588.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une possible vulnérabilité double libération de zone de mémoire a été
découverte dans fontconfig. Le problème était dû à une validation
insuffisante lors de l'analyse du fichier cache.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.9.0-7.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets fontconfig.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-587.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5419";>CVE-2016-5419</a>

<p>Bru Rom a découvert que libcurl essaierait de reconnecter une session
TLS même si le certificat du client a changé.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5420";>CVE-2016-5420</a>

<p>libcurl n'examinait pas les certificats des clients quand elle
réutilisait des connexions TLS.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 7.26.0-1+wheezy14.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-586.data"
# $Id: $

#use wml::debian::translation-check translation="fce40adff1381ed16a3e5ebae7ad1ff8fcbbb739" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur
web Firefox de Mozilla : plusieurs erreurs de sécurité de la mémoire,
dépassements de tampon et autres erreurs d'implémentation pourraient
conduire à l'exécution de code arbitraire, une vulnérabilité de script
intersite, la divulgation d'informations et un contournement de la
politique de même origine.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 45.3.0esr-1~deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-585.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>John Lightsey et Todd Rinaldo ont signalé que le chargement opportuniste
de modules optionnels peut provoquer le chargement involontaire de code par
de nombreux programmes à partir du répertoire de travail courant (qui
pourrait être changé pour un autre répertoire sans que l'utilisateur s'en
rende compte) et éventuellement mener à une élévation de privilèges, comme
cela a été démontré dans Debian avec certaines combinaisons de paquets
installés.</p>

<p>Le problème est lié au chargement de modules par Perl à partir du
tableau de répertoires « includes » (« @INC ») dans lequel le dernier
élément est le répertoire courant (« . »). Cela signifie que, quand
<q>perl</q> souhaite charger un module (lors d'une première compilation ou
du chargement différé d'un module durant l'exécution), Perl cherche
finalement le module dans le répertoire courant, dans la mesure où « . »
est le dernier répertoire inclus dans son tableau de répertoires inclus à
explorer. Le problème vient de la demande de bibliothèques qui sont dans
« . » mais qui ne sont pas autrement installées.</p>

<p>Avec cette mise à jour, le module Sys::Syslog de Perl est mis à jour
pour ne pas charger de modules à partir du répertoire courant.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.29-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libsys-syslog-perl.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-584.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dominic Scheirlinck et Scott Geary de Vend ont signalé un comportement
non sûr dans le serveur web lighttpd. Lighttpd assignait aux variables
d'environnement internes HTTP_PROXY les valeurs d'en-tête du mandataire à
partir des requêtes du client. Cela pourrait être utilisé pour porter des
attaques de type « homme du milieu » (MITM) ou pour initier des connexions
à des hôtes arbitraires.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 1.4.31-4+deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets lighttpd.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-583.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans libidn. Le projet
« Common Vulnerabilities and Exposures » (CVE) identifie les problèmes
suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8948";>CVE-2015-8948</a>

<p>Il survient une lecture hors limite quand idn lit un octet vide en
entrée.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6261";>CVE-2016-6261</a>

<p>Une lecture de pile hors limites est exploitable dans idna_to_ascii_4i.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6263";>CVE-2016-6263</a>

<p>Le rejet par stringprep_utf8_nfkc_normalize de chaînes UTF-8 non
valables, provoque un plantage.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.25-2+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libidn.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-582.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Aleksandar Nikolic a découvert que l'absence de vérification des entrées
dans l'analyseur RTF de LibreOffice peut avoir pour conséquence l'exécution
de code arbitraire lors de l'ouverture d'un document mal formé.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:3.5.4+dfsg2-0+deb7u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libreoffice.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-581.data"
# $Id: $

#use wml::debian::translation-check translation="287a42f20ec93bae0e2314439ae82557c905292c" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>L'envoi précédent de graphite2 (du 26 avril 2016) incluait un fichier
.shlib qui ne correspondait pas aux bibliothèques partagées fournies
empêchant la construction des paquets ayant une dépendance de construction
aux bibliothèques graphite2.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.3.6-1~deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphite2.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-580.data"
# $Id: $