[RFR] wml://lts/security/2016/dla-71{0,1,2,3,4,5,6,7,8,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-71x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="582c442a0c7a754eeaf62ab77fadabb963e9c1a2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Les versions actuelles de lynx analysent les URL de façon incorrecte.
Dans certaines circonstances, le nom d'hôte sera dérivé de façon incorrecte
après le caractère <q>?</q>. Cela pourrait conduire lynx à se diriger de
façon incorrecte vers un mauvais site web.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.8.8dev.12-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets lynx-cur.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-719.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Florian Larysch et Bram Moolenaar ont découvert que vim, une version
améliorée de l'éditeur vi, ne validait pas correctement les valeurs des
options <q>filetype</q>, <q>syntax</q> et <q>keymap</q>. Cela peut avoir
pour conséquence l'exécution de code arbitraire lors de l'ouverture d'un
fichier avec une ligne de mode (« modeline ») contrefaite pour l'occasion.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2:7.3.547-7+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets vim.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-718.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités de script intersite ont été découvertes dans
moin, un clone en Python de WikiWiki. Un attaquant distant peut mener des
attaques par script intersite à l'aide du dialogue des fichiers joints de
l'éditeur de l'interface utilisateur
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-7146";>CVE-2016-7146</a>) 
et du dialogue de lien de l'éditeur de l'interface utilisateur
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-9119";>CVE-2016-9119</a>).</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.9.4-8+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets moin.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-717.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de corruption de mémoire ont été identifiés dans
libtiff et les outils associés.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9273";>CVE-2016-9273</a>

<p>Dépassement de tas dans cpStrips().</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9297";>CVE-2016-9297</a>

<p>Lecture en dehors du tampon dans _TIFFPrintField().</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9532";>CVE-2016-9532</a>

<p>Dépassement de tas à l'aide de writeBufferToSeparateStrips().</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.0.2-6+deb7u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tiff.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-716.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans la plateforme de
gestion de contenu Drupal. Pour plus d'informations, veuillez vous référer
à l'annonce amont à l'adresse
<a href="https://www.drupal.org/SA-CORE-2016-005.";>https://www.drupal.org/SA-CORE-2016-005.</a></p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 7.14-2+deb7u15.</p>

<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-715.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Les vulnérabilités suivantes ont été découvertes dans la version pour
Debian <q>Wheezy</q> de Wireshark :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9373";>CVE-2016-9373</a>

<p>Le dissecteur pour DCERPC pourrait planter</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9374";>CVE-2016-9374</a>

<p>Le dissecteur pour AllJoyn pourrait planter</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9375";>CVE-2016-9375</a>

<p>Le dissecteur pour DTN pourrait entrer dans une boucle infinie</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9376";>CVE-2016-9376</a>

<p>Le dissecteur pour OpenFlow pourrait planter</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.12.1+g01b65bf-4+deb8u6~deb7u5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wireshark.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-714.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Il y avait un dépassement de tampon dans l'outil de surveillance et de
reniflage de paquets <q>sniffit</q> qui permettait à un fichier de
configuration contrefait pour l'occasion de fournir une invite de commande
pour le superutilisateur.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans sniffit
version 0.3.7.beta-16.1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets sniffit.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-713.data"
# $Id: $

#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9445";>CVE-2016-9445</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9446";>CVE-2016-9446</a>

<p>Chris Evans a découvert que le greffon de GStreamer pour décoder les
fichiers de capture d'écran de VMware permettait l'exécution de code
arbitraire. Il a aussi découvert qu'un tampon initialisé pourrait conduire
à une divulgation de mémoire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9447";>CVE-2016-9447</a>

<p>Chris Evans a découvert que le greffon GStreamer 0.10 pour décoder les
fichiers NSF (<q>NES Sound Format</q>) permettait l'exécution de code
arbitraire.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.10.23-7.1+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets gst-plugins-bad0.10.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-712.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8615";>CVE-2016-8615</a>

<p>Si l'état du cookie est écrit dans fichier de conteneur à cookies qui
est relu plus tard et utilisé pour des requêtes postérieures, un serveur
HTTP malveillant peut injecter de nouveaux cookies pour des domaines
arbitraires dans ledit conteneur à cookies. Le problème se rapporte à la
fonction qui charge les cookies en mémoire, qui lit le fichier spécifié
dans un tampon à taille fixe ligne par ligne avec la fonction
<q>fgets()</q>. Si une invocation de fgets() ne peut pas lire la ligne
entière dans le tampon de destination parce qu'il est trop petit, il
tronque la sortie. De cette manière, un très long cookie (nom + valeur)
envoyé par un serveur malveillant serait stocké dans le fichier et ensuite
ce cookie pourrait être lu partiellement et contrefait correctement, il
pourrait être traité comme un cookie différent pour un autre serveur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8616";>CVE-2016-8616</a>

<p>Lors de la réutilisation d'une connexion, curl effectuait des
comparaisons du noms d'utilisateur et de mots de passe avec les connexions
existantes sans tenir compte de la casse. Cela signifie que si une
connexion inutilisée avec des accréditations correctes existe pour un
protocole qui possède des accréditations au niveau de la connexion, un
attaquant peut provoquer la réutilisation de la connexion s'il connaît la
version insensible à la casse du mot de passe correct.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8617";>CVE-2016-8617</a>

<p>Dans la fonction encode base64 de libcurl, le tampon de sortie est
alloué comme suit sans vérification de la taille d'entrée :
malloc(taille d'entrée*4/3+4). Dans les systèmes avec des adresses 32 bits
dans l'espace utilisateur (par exemple x86, ARM, x32), la multiplication
dans l'expression s'enroule si la taille d'entrée était d'au moins 1 Go de
données. Si cela se produit, un tampon de sortie sous-dimensionné sera
alloué, mais le résultat complet sera écrit, provoquant donc l'écrasement
de la mémoire au-delà du tampon de sortie. Les systèmes les versions
64 bits du type <q>size_t</q> ne sont pas affectés par ce problème.</p></li>

</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8618";>CVE-2016-8618</a>

<p>La fonction de l'API de appelée <q>curl_maprintf()</q> peut être
entraînée à une double libération de zone de mémoire à cause d'une
multiplication de <q>size_t</q>, dans les systèmes utilisant des variables
size_t 32 bits. La fonction est aussi utilisée en interne dans de
nombreuses situations. Les systèmes les versions 64 bits du type
<q>size_t</q> ne sont pas affectés par ce problème.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8619";>CVE-2016-8619</a>

<p>Dans l'implémentation de curl du mécanisme d'authentification Kerberos,
la fonction <q>read_data()</q> dans security.c est utilisée pour remplir
les structures krb5 nécessaires. Lors de la lecture d'un des champs de
longueur à partir d'une socket, il échoue à assurer que le paramètre de
longueur passé à realloc() n'est pas réglé à 0.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8621";>CVE-2016-8621</a>

<p>La fonction <q>curl_getdate</q> convertit une chaîne de date donnée en
un horodatage numérique et prend en charge une gamme de formats différents
et de possibilités pour exprimer une date et une heure. La fonction
d'analyse de date sous-jacente est aussi utilisée en interne par exemple
lors de l'analyse de cookies HTTP (reçues éventuellement de serveurs
distants) et il peut être utilisé lors de la réalisation de requêtes HTTP
conditionnelles.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8622";>CVE-2016-8622</a>

<p>La fonction de décodage d'URL <q>percent-encoding</q> dans libcurl est
appelé <q>curl_easy_unescape</q>. En interne, même si cette fonction
pouvait être faite pour allouer un tampon de destination <q>unscape</q> de
plus de 2 Go, elle renverrait une variable d'entier signée 32 bits comme
longueur, donc la longueur serait soit juste tronquée soit à la fois
tronquée et devenue négative. Cela pourrait mener libcurl à écrire en
dehors de son tampon de tas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8623";>CVE-2016-8623</a>

<p>libcurl permet de façon explicite à des utilisateurs de partager des
cookies entre plusieurs identifiants rapides qui sont employés
concurremment par différents fils. Quand les cookies à envoyer à un serveur
sont collectés, la fonction correspondante collecte tous les cookies à
envoyer et le verrou de cookie est libéré immédiatement après. Cette
fonction ne renvoie cependant qu'une liste avec les *references* aux
chaînes originales pour le nom, la valeur, etc. Donc, si un autre fil
prend rapidement le verrou et libère une des structures de cookie
originales avec ses chaînes, une utilisation de mémoire après libération
peut survenir et mener à la divulgation d'informations. Un autre fil peut
aussi remplacer les contenus des cookies à partir de réponses HTTP
distinctes ou d'appels d'API.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8624";>CVE-2016-8624</a>

<p>curl n'analysait pas correctement le composant d'autorité de l'URL quand
la partie nom d'hôte se termine par un caractère <q>#</q>, et pourrait
plutôt être piégé dans une connexion à un hôyr différent. Cela peut avoir
des implications de sécurité lorsqu'est utilisé, par exemple, un analyseur
d'URL qui suit le RFC pour vérifier les domaines autorisés avant d'utiliser
curl pour les demander.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 7.26.0-1+wheezy17.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-711.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dans certaines configurations le moteur de stockage MySQL pour Akonadi,
un service de stockage et de gestion d'information personnelle (PIM) et
indépendant de l'environnement de bureau, échouait à démarrer après
l'application de la mise à niveau de sécurité MySQL 5.5.53.</p>

<p>Cette mise à jour modifie le fichier de configuration
/etc/akonadi/mysql-global.conf pour rétablir la compatibilité
(version 1.7.2-3+deb7u1 dans Wheezy).</p>

<p>Nous vous recommandons de mettre à jour vos paquets akonadi.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 1.7.2-3+deb7u1 d'akonadi.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-710.data"
# $Id: $