[RFR] wml://lts/security/2016/dla-76{0,1,2,3,4,5,6,7,8,9}.wml

[Jean-Pierre Giraud <jenapierregiraud75@free.fr>]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-76x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Le riche programme de capture d'écran shutter utilise l'appel system()
d'une manière non sûre. Cela permet à un attaquant d'exécuter des
programmes arbitraires au moyen de noms de répertoire contrefaits.</p>


<p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la
version 0.88.3-1+deb7u1.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème sera corrigé dans la
version 0.92-0.1+deb8u1, comme élément de la version intermédiaire à venir.</p>

<p>Pour Debian 9 <q>Stretch</q> et <q>Sid</q>, ce problème a été corrigé
dans la version 0.93.1-1</p>

<p>Nous vous recommandons de mettre à jour vos paquets shutter.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-769.data"
# $Id: $

#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>La fonction read_binary dans buffer.c dans pgpdump, un visualisateur de
paquet PGP, permet à des attaquants en fonction du contexte de provoquer un
déni de service (boucle infinie et consommation de processeur) au moyen
d'une entrée contrefaite. Le
<a href="https://security-tracker.debian.org/tracker/CVE-2016-4021";>CVE-2016-4021</a>
a été assigné à ce problème.</p>

<p>Également, la fonction read_radix64 pourrait lire des données au-delà de
la fin d'un tampon à partir d'une entrée contrefaite.</p>


<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.27-1+deb7u1.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes seront corrigés dans la
version 0.28-1+deb8u1, comme élément de la version intermédiaire à venir.</p>

<p>Pour Debian 9 <q>Stretch</q> et <q>Sid</q>, ces problèmes ont été
corrigés dans la version 0.31-0.1</p>

<p>Nous vous recommandons de mettre à jour vos paquets pgpdump.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-768.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>L'implémentation de libcurl des fonctions de printf() déclenche un
dépassement de tampon lors de la production d'une grande sortie à virgule
flottante. Le bogue survient quand la conversion génère plus de 255 octets.</p>

<p>Ce défaut se produit parce que la conversion de nombres à virgule
flottante sans les vérifications correctes de limites.</p>

<p>S’il existe une application qui accepte une chaîne de formatage de
l’extérieur sans filtrage nécessaire d’entrée, cela pourrait permettre des
attaques distantes.</p>

<p>Ce défaut n'existe pas dans l'outil en ligne de commande.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 7.26.0-1+wheezy18.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-767.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Gergely Gábor Nagy de Tresorit a découvert que libcrypto++, une
bibliothèque C++ de cryptographie, renfermait un bogue dans plusieurs
routines d'analyse d'ASN.1. Cela pourrait permettre à un attaquant de
provoquer un déni de service à distance.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 5.6.1-6+deb7u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libcrypto++.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-766.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9911";>CVE-2016-9911</a>

<p>qemu-kvm  construit avec la prise en charge de l'émulation de
l'interface EHCI USB est vulnérable à un problème de fuite de mémoire. Il
pourrait survenir lors du traitement de données de paquet dans
<q>ehci_init_transfer</q>. Un utilisateur ou un processus client pourrait
utiliser ce problème pour divulguer la mémoire de l'hôte, avec pour
conséquence un déni de service pour l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9921";>CVE-2016-9921</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9922";>CVE-2016-9922</a>

<p>qemu-kvm construit avec la prise en charge de l'émulateur VGA Cirrus
CLGD 54xx est vulnérable à un problème de division par zéro. Il pourrait
survenir lors de la copie de données VGA quand le mode graphique de Cirrus
est réglé à VGA. Un utilisateur privilégié dans un client pourrait utiliser
ce défaut pour planter l'instance du processus Qemu sur l'hôte, avec pour
conséquence un déni de service.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u19.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a.></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-765.data"
# $Id: $

#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans QEMU :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9911";>CVE-2016-9911</a>

<p>Quick Emulator (Qemu) construit avec la prise en charge de l'émulation de
l'interface EHCI USB est vulnérable à un problème de fuite de mémoire. Il
pourrait survenir lors du traitement de données de paquet dans
<q>ehci_init_transfer</q>. Un utilisateur ou un processus client pourrait
utiliser ce problème pour divulguer la mémoire de l'hôte, avec pour
conséquence un déni de service pour l'hôte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9921";>CVE-2016-9921</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9922";>CVE-2016-9922</a>

<p>Quick emulator (Qemu) construit avec la prise en charge de l'émulateur
VGA Cirrus CLGD 54xx est vulnérable à un problème de division par zéro. Il
pourrait survenir lors de la copie de données VGA quand le mode graphique de
Cirrus est réglé à VGA. Un utilisateur privilégié dans un client pourrait
utiliser ce défaut pour planter l'instance du processus Qemu sur l'hôte,
avec pour conséquence un déni de service.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 1.1.2+dfsg-6+deb7u19.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-764.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Saulius Lapinskas du Lithuanian State Social Insurance Fund Board a
découvert que Squid3, un serveur mandataire (« proxy ») et cache web
complet, ne traite pas correctement les réponses aux requêtes HTTP
conditionnelles <q>If-None-Modified</q>, menant à la divulgation à d'autres
clients de données de Cookie spécifiques au client. Un attaquant distant
peut tirer avantage de ce défaut pour découvrir des informations privées
et sensibles sur la session de navigation d'autres clients.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 3.1.20-2.2+deb7u7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets squid3.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-763.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Bjoern Jacke a découvert qu'Exim, l'agent de transport de courriel par
défaut de Debian, peut divulguer la clé de signature privée DKIM aux
fichiers de journalisation si des options de configuration spécifiques sont
remplies.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 4.80-7+deb7u4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets exim4.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-762.data"
# $Id: $

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Bottle, un environnement WSGI pour le langage Python, ne filtre pas
correctement les séquences « \r\n » lors du traitement de redirections.
Cela permet à un attaquant de réaliser des attaques d'injection de fin de
ligne (CRLF) telles que des injections d'en-têtes HTTP.</p>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 0.10.11-1+deb7u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-bottle.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-761.data"
# $Id: $

#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités de script intersite réfléchi (XSS) ont été
découvertes dans SPIP, un moteur de publication pour site web écrit en PHP.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9997";>CVE-2016-9997</a>

<p>Le paramètre <q>id</q> pour l'action puce_statut n'est pas vérifié
correctement. Un attaquant pourrait injecter du code HTML arbitraire en
piégeant un utilisateur authentifié de SPIP dans l'ouverture d'une URL
contrefaite pour l'occasion.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9998";>CVE-2016-9998</a>

<p>Le paramètre <q>plugin</q> pour l'action info_plugin n'est pas vérifié
correctement. Un attaquant pourrait injecter du code HTML arbitraire en
piégeant un utilisateur authentifié de SPIP dans l'ouverture d'une URL
contrefaite pour l'occasion.</p></li>

</ul>

<p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la
version 2.1.17-1+deb7u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets spip.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
<a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-760.data"
# $Id: $