[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://lts/security/2016/dla-60{0,1,2,3,4,5,6,7,8,9}.wml

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-61x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege


#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>qemu-kvm construit avec le système de fichiers VirtFS, partageant un
répertoire de l'hôte au moyen de la prise en charge du système de fichiers
de Plan 9 (9pfs), est vulnérable à un problème de traversée de répertoires.
Il pourrait survenir lors de la création ou de l'accès à des fichiers sur
un répertoire partagé de l'hôte.</p>

<p>Un utilisateur privilégié dans le client pourrait utiliser ce défaut
pour accéder à des fichiers injustifiés sur l'hôte.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u15.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-619.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Quick Emulator (Qemu) construit avec le système de fichiers VirtFS,
partageant un répertoire de l'hôte au moyen de la prise en charge du
système de fichiers de Plan 9 (9pfs), est vulnérable à un problème de
traversée de répertoires. Il pourrait survenir lors de la création ou de
l'accès à des fichiers sur un répertoire partagé de l'hôte.</p>

<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour accéder à des fichiers injustifiés sur l'hôte.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u15.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-618.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans
libarchive, une bibliothèque d'archive et de compression multi-format.
Un attaquant pourrait tirer avantage de ces défauts pour provoquer une
lecture hors limites ou un déni de service à l'encontre d'une application
utilisant la bibliothèque libarchive12 en se servant d'un fichier d'entrée
soigneusement contrefait.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8915";>CVE-2015-8915</a>

<p>Paris Zoumpouloglou de Project Zero labs a découvert un défaut dans
bsdtar de libarchive. Avec un fichier contrefait, bsdtar peut réaliser une
lecture de mémoire hors limites qui mènera à une erreur de segmentation.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7166";>CVE-2016-7166</a>

<p>Alexander Cherepanov a découvert un défaut dans le traitement de la
compression de libarchive. Avec un fichier gzip contrefait, il est possible
d'obtenir que libarchive invoque une chaîne infinie de compresseurs gzip
jusqu'à ce que toute la mémoire soit épuisée ou qu'une autre limite de
ressource se fasse sentir.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.0.4-3+wheezy3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libarchive.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-617.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>libcurl construit sur NSS (Network Security Services) réutilisait
incorrectement des certificats de clients si un certificat venant d'un
fichier était utilisé pour une connexion TLS mais qu'il n'y avait pas de
certificat défini pour une connexion TLS ultérieure.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 7.26.0-1+wheezy15.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-616.data"
# $Id: $

#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Cette mise à jour corrige un dépassement de tampon dans la fonction
uloc_acceptLanguageFromHTTP dans ICU, la bibliothèque C et C++
<q>International Components for Unicode</q>, dans Debian Wheezy.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.8.1.1-12+deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets icu.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-615.data"
# $Id: $

#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen. Le
projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7092";>CVE-2016-7092</a> (XSA-185)

<p>Jérémie Boutoille de Quarkslab et Shangcong Luan de Alibaba ont
découvert un défaut dans le traitement des entrées de table de pages L3
permettant à un administrateur de client PV 32 bits malveillant d'augmenter
ses droits à ceux de l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7094";>CVE-2016-7094</a> (XSA-187)

<p>Des clients HVM x86 s'exécutant avec une pagination «⋅shadow⋅» utilisent
un sous-ensemble de l'émulateur x86 pour gérer le client écrivant ses
propres tables de page. Andrew Cooper de Citrix a découvert qu'il y a des
situations, qu'un client peut provoquer, qui peuvent avoir pour conséquence
le dépassement de l'espace alloué pour un état interne. Un administrateur
malveillant de client HVM peut provoquer l'échec d'une vérification de
bogue par Xen, causant un déni de service à l'hôte.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.1.6.lts1-2. Pour Debian 8 <q>Jessie</q>, ces problèmes ont été
corrigés dans la version 4.4.1-9+deb8u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xen.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-614.data"
# $Id: $

#use wml::debian::translation-check translation="b0c92eed441f71ac55750ecb63094fb265c115a0" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de CSRF et XSS permettent à des attaquants distants
de détourner l'authentification et exécutent des opérations roundcube sans
l'accord de l'utilisateur. Dans certains cas, cela pourrait avoir pour
conséquence la perte ou le vol de données.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9587";>CVE-2014-9587</a>

<p>Plusieurs vulnérabilités de contrefaçon de requête intersite (CSRF)
permettent à des attaquants distants de détourner l'authentification de
victimes non précisées au moyen de vecteurs inconnus, liés à (1) des
opérations de carnet d'adresses ou aux greffons (2) ACL ou (3) Managesieve.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1433";>CVE-2015-1433</a>

<p>Une logique de guillemets incorrecte durant le nettoyage des attributs
de style HTML permet à des attaquants distants d'exécuter du code
JavaScript arbitraire sur le navigateur de l'utilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4069";>CVE-2016-4069</a>

<p>Une vulnérabilité de contrefaçon de requête intersite (CSRF) permet à
des attaquants distants de détourner l'authentification d'utilisateurs pour
des requêtes qui téléchargent des pièces jointes et causent un déni de
service (consommation d'espace disque) au moyen de vecteurs non précisés.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.7.2-9+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets roundcube.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-613.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>L'implémentation de la vérification de signature RSA dans libtomcrypt
est vulnérable à l'attaque de signature Bleichenbacher.</p>

<p>Si une clé RSA avec un exposant 3 est utilisée, il peut être possible de
contrefaire une signature PKCS#1 v1.5 signée par cette clé.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.17-3.2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libtomcrypt.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-612.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité de traversée de répertoires dans jsch, une
implémentation en pure Java du protocole SSH2.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 0.1.42-2+deb7u1 de jsch.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jsch.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-611.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités de sécurité ont été découvertes dans tiff3, une
bibliothèque fournissant une prise en charge pour le format Tag Image File
Format (TIFF). Un attaquant pourrait tirer avantage de ces défauts pour
provoquer un déni de service à l'encontre d'une application utilisant les
bibliothèques libtiff4 ou libtiffxx0c2 (plantage de l'application), ou
éventuellement pour exécuter du code arbitraire avec les privilèges de
l'utilisateur exécutant l'application.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.9.6-11+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tiff3.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-610.data"
# $Id: $
Reply to: