Bonjour, Le 27/05/2016 22:20, Baptiste Jammet a écrit : > Bonjour, > Dixit jean-pierre giraud, le 24/05/2016 : >> Merci d'avance pour vos nouvelles relectures. > Un contre-sens et une majuscule (absente en VO). > Baptiste Corrigé, merci et merci d'avance pour vos nouvelles relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Nikolay Ermishkin de l'équipe de sécurité de Mail.Ru et Stewie ont découvert plusieurs vulnérabilités dans ImageMagick, un ensemble de programmes pour manipuler des images. Ces vulnérabilités, connues collectivement sous le nom de ImageTragick, sont la conséquence de l'absence de vérification des entrées non fiables. Un attaquant doté du contrôle sur l'image d'entrée pourrait, avec les droits de l'utilisateur se servant de l'application, exécuter du code (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3714";>CVE-2016-3714</a>), faire des requêtes HTTP GET ou FTP (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3718";>CVE-2016-3718</a>), ou supprimer (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3715";>CVE-2016-3715</a>), déplacer (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3716";>CVE-2016-3716</a>), ou lire (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3717";>CVE-2016-3717</a>) des fichiers locaux.</p>
<p>Ces vulnérabilités sont particulièrement critiques si ImageMagick traite des images venant de parties distantes, par exemple d'une partie d'un service web.</p> <p>La mise à jour désactive les codeurs vulnérables (EPHEMERAL, URL, MVG, MSL et PLT) et les lectures indirectes par l'intermédiaire du fichier /etc/ImageMagick-6/policy.xml. En complément, des préventions supplémentaires sont introduites, y compris quelques vérifications pour les noms de fichier d'entrée dans les délégués http/https, le retrait complet du décodeur PLT/Gnuplot et la nécessité de référence explicite dans le nom de fichier pour les codeurs non sûrs.</p> <p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 8:6.8.9.9-5+deb8u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3580.data" # $Id: dsa-3580.wml,v 1.2 2016/05/29 10:11:02 jipege1-guest Exp $
