[RFR] wml://lts/security/2016/dla-69{0,1,2,3,4,5,6,7,8,9}.wml
- To: debian-l10n-french@lists.debian.org
- Subject: [RFR] wml://lts/security/2016/dla-69{0,1,2,3,4,5,6,7,8,9}.wml
- From: Jean-Pierre Giraud <jenapierregiraud75@free.fr>
- Date: Sat, 18 Jan 2020 23:49:41 +0100
- Message-id: <[🔎] 380898a5-0fc1-3a3f-9bfe-218254a1da03@free.fr>
Bonjour,
quelques anciennes annonces de sécurité de plus.
Les textes en anglais sont ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-69x.wml
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Xen ne prend pas en compte correctement les CR0.TS et CR0.EM. Cela
permet à des utilisateurs locaux d'un système d’exploitation client x86 de
lire ou de modifier des informations d'état des registres FPU, MMX ou XMM
appartenant à des tâches arbitraires sur le client en modifiant une
instruction pendant que l'hyperviseur se prépare à l'émuler.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.1.6.lts1-3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets xen.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-699.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur
rapide de processeur. Le projet « Common Vulnerabilities and Exposures »
(CVE) identifie les problèmes suivants.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7909";>CVE-2016-7909</a>
<p>Quick Emulator (Qemu) construit avec la prise en charge de l'émulateur
PC-Net II d'AMD est vulnérable à un problème de boucle infinie. Il pourrait
survenir lors de la réception de paquets à l'aide de pcnet_receive().</p>
<p>Un utilisateur ou un processus privilégié dans un client pourrait
utiliser ce problème pour planter le processus de Qemu dans l'hôte menant à
un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8909";>CVE-2016-8909</a>
<p>Quick Emulator (Qemu) construit avec la prise en charge de l'émulation
du contrôleur HDA d'Intel est vulnérable à un problème de boucle infinie.
Il pourrait survenir lors du traitement du flux de tampons DMA lors du
transfert de données dans <q>intel_hda_xfer</q>.</p>
<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour consommer un nombre excessif de cycles de processeur sur l'hôte, avec
pour conséquence un déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8910";>CVE-2016-8910</a>
<p>Quick Emulator (Qemu) construit avec la prise en charge de l'émulation
du contrôleur ethernet RTL8139 est vulnérable à un problème de boucle
infinie. Il pourrait survenir lors de la transmission de paquets dans le
mode d'opération C+.</p>
<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour consommer un nombre excessif de cycles de processeur sur l'hôte, avec
pour conséquence une situation de déni de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9101";>CVE-2016-9101</a>
<p>Quick Emulator (Qemu) construit avec la prise en charge de l'émulation
NIC i8255x (PRO100) est vulnérable à un problème de fuite de mémoire. Il
pourrait survenir lors de la déconnexion du périphérique, et, en le faisant
à de très nombreuses reprises, cela pourrait avoir pour conséquence la
divulgation de la mémoire de l'hôte, affectant d'autres services sur
l'hôte. </p>
<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour provoquer un déni de service sur l'hôte ou éventuellement le plantage
du processus de Qemu sur l'hôte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9102";>CVE-2016-9102</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9105";>CVE-2016-9105</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9106";>CVE-2016-9106</a>
<p>Quick Emulator (Qemu) construit avec le système de fichiers VirtFS,
partageant un répertoire de l'hôte au moyen de la prise en charge du
système de fichiers de Plan 9 (9pfs), est vulnérable à plusieurs problèmes
de fuite de mémoire.</p>
<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour divulguer des octets de la mémoire de l'hôte avec pour conséquence un
déni de service pour d'autres services.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9104";>CVE-2016-9104</a>
<p>Quick Emulator (Qemu) construit avec le système de fichiers VirtFS,
partageant un répertoire de l'hôte au moyen de la prise en charge du
système de fichiers de Plan 9 (9pfs), est vulnérable à un problème de
dépassement d'entier. Il pourrait survenir en accédant à des valeurs de
xattributes.</p>
<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour planter l'instance du processus de Qemu avec pour conséquence un déni
de service.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9103";>CVE-2016-9103</a>
<p>Quick Emulator (Qemu) construit avec le système de fichiers VirtFS,
partageant un répertoire de l'hôte au moyen de la prise en charge du
système de fichiers de Plan 9 (9pfs), est vulnérable à un problème de fuite
d'informations. Il pourrait survenir en accédant à une valeur de
xattribute avant qu'elle soit écrite.</p>
<p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut
pour divulguer des octets de la mémoire de l'hôte.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u18.</p>
<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-698.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait une vulnérabilité d'<q>écriture arbitraire</q> dans bsdiff,
un outil pour appliquer des patchs entre des fichiers binaires.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans bsdiff
version 4.3-14+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets bsdiff.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-697.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tony Finch et Marco Davids ont signalé un échec d'assertion dans BIND,
une implémentation de serveur de noms de domaines, qui provoque l'arrêt du
processus du serveur. Cette vulnérabilité de déni de service est liée à un
défaut dans le traitement de réponses avec des enregistrements de DNAME
provenant de serveurs faisant autorité et affecte principalement les
résolveurs récursifs.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1:9.8.4.dfsg.P1-6+nmu2+deb7u13.</p>
<p>Nous vous recommandons de mettre à jour vos paquets bind9.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-696.data"
# $Id: $
#use wml::debian::translation-check translation="7399be288c66a990e13ba163e87f97a70e9334bf" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans SPIP, un moteur de
publication pour site web écrit en PHP.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7980";>CVE-2016-7980</a>
<p>Nicolas Chatelain de Sysdream Labs a découvert une vulnérabilité de
contrefaçon de requête intersite (CSRF) dans l'action valider_xml de SPIP.
Cela permet à des attaquants distants de faire usage de vulnérabilités
éventuelles supplémentaires telles que celle décrite dans le
<a href="https://security-tracker.debian.org/tracker/CVE-2016-7998";>CVE-2016-7998</a>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7981";>CVE-2016-7981</a>
<p>Nicolas Chatelain de Sysdream Labs a découvert une vulnérabilité
d'attaque par script intersite réfléchie (XSS) dans l'action validater_xml
de SPIP. Un attaquant pourrait tirer avantage de cette vulnérabilité pour
injecter du code arbitraire en piégeant un administrateur dans l'ouverture
d'un lien malveillant.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7982";>CVE-2016-7982</a>
<p>Nicolas Chatelain de Sysdream Labs a découvert une attaque d'énumération
de fichiers ou de traversée de répertoires dans l'action validator_xml de
SPIP. Un attaquant pourrait utiliser cela pour énumérer les fichiers dans
un répertoire arbitraire dans le système de fichiers.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7998";>CVE-2016-7998</a>
<p>Nicolas Chatelain de Sysdream Labs a découvert une possible
vulnérabilité d'exécution de code PHP dans les fonctions <q>template
compiler</q> ou <q>template composer</q> de SPIP. En combinaison avec les
vulnérabilités XSS et CSRF décrites dans cette annonce, un attaquant
distant pourrait tirer avantage de cela pour exécuter du code PHP
arbitraire sur le serveur.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7999";>CVE-2016-7999</a>
<p>Nicolas Chatelain de Sysdream Labs a découvert une contrefaçon de
requête côté serveur dans l'action valider_xml de SPIP. Des attaquants
pourraient tirer avantage de cette vulnérabilité pour envoyer des requêtes
HTTP ou FTP à des serveurs distants auxquels ils n'ont pas d'accès direct,
éventuellement en contournant des contrôles d'accès tels qu'un pare-feu.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.1.17-1+deb7u6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets spip.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-695.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Agostino Sarubbo de Gentoo a découvert un défaut dans l'analyseur de
Windows Metafile Format (WMF) de libwmf qui provoquait l'allocation d'une
quantité excessive de mémoire, menant éventuellement à un plantage.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.2.8.4-10.3+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libwmf.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-694.data"
# $Id: $
#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La bibliothèque libtiff et les utilitaires associés fournis dans
libtiff-tools sont vulnérables à de nombreux problèmes de sécurité.</p>
<p>Cette mise à jour retire de nombreux utilitaires qui ne sont plus pris
en charge par l'amont et qui sont affectés par de multiples problèmes de
corruption de mémoire :</p>
<ul>
<li>bmp2tiff (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3619";>CVE-2016-3619</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3620";>CVE-2016-3620</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3621";>CVE-2016-3621</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-5319";>CVE-2016-5319</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2015-8668";>CVE-2015-8668</a>)</li>
<li>gif2tiff (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3186";>CVE-2016-3186</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-5102";>CVE-2016-5102</a>)</li>
<li>ras2tiff</li>
<li>sgi2tiff</li>
<li>sgisv</li>
<li>ycbcr</li>
<li>rgb2ycbcr (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3623";>CVE-2016-3623</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3624";>CVE-2016-3624</a>)</li>
<li>thumbnail (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3631";>CVE-2016-3631</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3632";>CVE-2016-3632</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3633";>CVE-2016-3633</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-3634";>CVE-2016-3634</a> et
<a href="https://security-tracker.debian.org/tracker/CVE-2016-8331";>CVE-2016-8331</a>)</li>
</ul>
<p>Cette mise à jour corrige aussi les problèmes suivants :</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8128";>CVE-2014-8128</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7554";>CVE-2015-7554</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-5318";>CVE-2016-5318</a>
<p>Plusieurs dépassements de tampon déclenchés par TIFFGetField() sur des
étiquettes inconnues. En l'absence de correctif de l'amont, la liste des
étiquettes connues a été étendue pour couvrir toutes celles qui sont en
usage dans les utilitaires de TIFF.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5652";>CVE-2016-5652</a>
<p>Dépassement de tas dans tiff2pdf.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6223";>CVE-2016-6223</a>
<p>Fuite d'information dans libtiff/tif_read.c. Correction de lecture hors
limites dans des fichiers mappés en mémoire dans TIFFReadRawStrip1() et
TIFFReadRawTile1() quand StripOffset est au-delà de la valeur maximale de
tmsize_t (problème signalé par Mathias Svensson).</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.0.2-6+deb7u7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tiff.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-693.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Les applications utilisant libtiff peuvent déclencher des dépassements
de tampon au moyen de TIFFGetField() lors du traitement d'images TIFF avec
des étiquettes inconnues.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.9.6-11+deb7u2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tiff3.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-692.data"
# $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4658";>CVE-2016-4658</a>
<p>Les nœuds de noms d'espace peuvent être copiés pour éviter des erreurs
d'utilisation de mémoire après libération. Mais ils n'ont pas
nécessairement une représentation physique dans un document, aussi, il
suffit de les désactiver dans les intervalles de XPointer.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5131";>CVE-2016-5131</a>
<p>L'ancien code invoquait la fonction xmlXPtrRangeToFunction.
<q>range-to</q> n'est pas réellement une fonction mais un type spécial
d'étape de position. Retirer cette fonction et toujours gérer <q>range-to</q>
dans le code de XPath. L'ancienne fonction xmlXPtrRangeToFunction pourrait
être aussi abusée pour déclencher une erreur d'utilisation de mémoire
après libération avec une potentialité d'exécution distante de code.</p></li>
</ul>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.8.0+dfsg1-7+wheezy7.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libxml2.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-691.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans le paquet tar qui pourrait
permettre à un attaquant d'écraser des fichiers arbitraires au moyen de
fichiers contrefaits.</p>
<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.26+dfsg-0.1+deb7u1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tar.</p>
<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-690.data"
# $Id: $
Reply to: