Bonjour, Une nouvelle annonce de sécurité vient d'être publiée. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Irssi, un client IRC en mode terminal. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>
<ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10965";>CVE-2017-10965</a> <p>Brian <q>geeknik</q> Carpenter de Geeknik Labs a découvert que Irssi ne gère pas correctement la réception de messages avec des estampilles temporelles non valables. Un serveur IRC malveillant peut tirer avantage de ce défaut pour provoquer le plantage de Irssi, avec pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-10966";>CVE-2017-10966</a> <p>Brian <q>geeknik</q> Carpenter de Geeknik Labs a découvert que Irssi est vulnérable à un défaut d'utilisation de mémoire après libération déclenchée lors de la mise à jour de la liste interne de pseudonymes. Un serveur IRC malveillant peut tirer avantage de ce défaut pour provoquer le plantage de Irssi, avec pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15227";>CVE-2017-15227</a> <p>Joseph Bisch a découvert que lors de l'attente de la synchronisation de canal, Irssi peut échouer incorrectement à retirer les canaux supprimés de la liste de requête, avec pour conséquence des conditions d'utilisation de mémoire après libération lors de la mise à jour ultérieure de l'état. Un serveur IRC malveillant peut tirer avantage de ce défaut pour provoquer le plantage de Irssi, avec pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15228";>CVE-2017-15228</a> <p>Hanno Boeck a signalé que Irssi ne gère pas correctement l'installation de thèmes avec des séquences de formatage de couleur sans terminaison, menant à un déni de service si un utilisateur est piégé dans l'installation d'un thème contrefait pour l'occasion.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15721";>CVE-2017-15721</a> <p>Joseph Bisch a découvert que Irssi ne gère pas correctement des messages DCC CTCP incorrectement formatés. Un attaquant distant peut tirer avantage de ce défaut pour provoquer le plantage de Irssi, avec pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15722";>CVE-2017-15722</a> <p>Joseph Bisch a découvert que Irssi ne vérifie pas correctement les identifiants de canal sûr (« Safe channel »). Un serveur IRC malveillant peut tirer avantage de ce défaut pour provoquer le plantage de Irssi, avec pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15723";>CVE-2017-15723</a> <p>Joseph Bisch a signalé que Irssi ne gère pas correctement les cibles ou les pseudonymes trop longs avec pour conséquence un déréférencement de pointeur NULL lors du découpage du message et menant à un déni de service.</p></li> </ul> <p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 0.8.17-1+deb8u5.</p> <p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.0.2-1+deb9u3. <a href="https://security-tracker.debian.org/tracker/CVE-2017-10965";>CVE-2017-10965</a> et <a href="https://security-tracker.debian.org/tracker/CVE-2017-10966";>CVE-2017-10966</a> ont déjà été corrigés dans une version intermédiaire précédente.</p> <p>Nous vous recommandons de mettre à jour vos paquets irssi.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-4016.data" # $Id: dsa-4016.wml,v 1.2 2017/11/03 23:16:05 jipege1-guest Exp $
