Bonjour, quelques anciennes annonces de sécurité de plus.
Les textes en anglais sont ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-xxxxx.wml Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>libgwenhywfar (une couche d'abstraction de système d'exploitation qui permet le portage de logiciels sur différents systèmes d'exploitation tels que Linux, *BSD, Windows, etc.) utilisait un groupe de certificats d'autorité de certification (CA) obsolètes.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans libgwenhywfar version 4.3.3-1+deb7u1 en utilisant le paquet ca-certificates.</p> <p>Nous vous recommandons de mettre à jour vos paquets libgwenhywfar.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-469.data" # $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités de sécurité ont été découvertes dans libuser, une bibliothèque qui implémente une interface standardisée pour manipuler et administrer les comptes d'utilisateurs et de groupes, qui pourraient conduire à un déni de service ou à une élévation de privilèges par des utilisateurs locaux.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3245";>CVE-2015-3245</a> <p>Une vulnérabilité de liste noire incomplète dans la fonction chfn dans libuser avant 0.56.13-8 et 0.60 avant 0.60-7, tel qu'utilisé dans le programme userhelper dans le paquet usermode, permet à des utilisateurs locaux de provoquer un déni de service (corruption de /etc/passwd) à l'aide d'un caractère de changement de ligne dans le champ GECOS.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3246";>CVE-2015-3246</a> <p>libuser avant 0.56.13-8 et 0.60 avant 0.60-7, tel qu'utilisé dans le programme userhelper dans le paquet usermode, modifie directement /etc/passwd. Cela permet à des utilisateurs locaux de provoquer un déni de service (état de fichier inconsistant) en provoquant une erreur durant la modification. ATTENTION : ce problème peut être combiné au <a href="https://security-tracker.debian.org/tracker/CVE-2015-3245";>CVE-2015-3245</a> pour obtenir des privilèges.</p></li> </ul> <p>En complément, le paquet usermode, qui dépend de libuser, a été reconstruit avec la version mise à jour.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans</p> <p>libuser 1:0.56.9.dfsg.1-1.2+deb7u1 et usermode 1.109-1+deb7u2</p> <p>Nous vous recommandons de mettre à jour vos paquets libuser et usermode.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-468.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La classe XMLReader peut lever une exception si un caractère non valable est rencontré et l'exception traverse les structures de piles d'une façon non sécurisée qui fait accéder le traitement d'exception de plus haut niveau à un objet déjà libéré.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 3.1.1-3+deb7u3 de xerces-c.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-467.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Les versions 4.02.3 et antérieures d'OCaml ont un bogue d'exécution qui, sur les plateformes 64 bits, fait que les arguments de taille pour un appel memmove interne subissent une extension de signe de 32 à 64 bits avant d'être passés à la fonction memmove. Cela conduit les arguments entre 2 GiB et 4 GiB à être interprétés comme plus grands qu'ils ne sont (particulièrement, un bit en dessous de 2^64), provoquant un dépassement de tampon. Les arguments entre 4 GiB et 6 GiB sont interprétés comme 4 GiB plus petits qu'ils ne devraient être, provoquant une possible fuite d'informations.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 3.12.1-4+deb7u1 d'ocaml.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-466.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il n'est pas réalisable d'offrir un suivi de sécurité complet pour certains paquets Debian tout au long du cycle de vie. Le paquet debian-security-support fournit l'outil check-support-status qui aide à alerter les administrateurs des paquets installés dont le suivi de sécurité est limité ou doit prendre fin prématurément.</p> <p>Pour Debian 7 <q>Wheezy</q>, la version 2016.05.09+nmu1~deb7u1 de debian-security-support met à jour la liste des paquets bénéficiant d'une prise en charge restreinte dans Wheezy LTS. En particulier, cette version comprend aussi une nouvelle fonctionnalité pour notifier à l'utilisateur les prochaines fins de vie.</p> <p>Nous vous recommandons d'installer debian-security-support et d'exécuter check-support-status pour vérifier le statut des paquets installés. Veuillez consulter la page de manuel check-support-status (1) pour plus d'information sur comment l'utiliser.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 2016.05.09+nmu1~deb7u1 de debian-security-support.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-465.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il y avait une vulnérabilité d'utilisation de mémoire après libération dans libav, une bibliothèque de lecteur, serveur, encodeur et transcodeur multimédia.</p> <p>La fonction seg_write_packet dans libavformat/segment.c dans ffmpeg versions 2.1.4 et antérieures ne libère pas l'emplacement de mémoire correct. Cela permet à des attaquants distants de provoquer un déni de service (« invalid memory handler ») et éventuellement d'exécuter du code arbitraire à l'aide d'une vidéo contrefaite qui déclenche une utilisation de mémoire après libération.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 6:0.8.17-2+deb7u1 de libav.</p> <p>Nous vous recommandons de mettre à jour vos paquets libav.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-464.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Simon McVittie a découvert une vulnérabilité de script intersite dans le signalement d'erreur d'Ikiwiki, un compilateur de wiki. Cette mise à jour durcit également l'utilisation par ikiwiki d'imagemagick dans le greffon img.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 3.20120629.2+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets ikiwiki.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-463.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Nitin Venkatesh a découvert que websvn, un outil pour visualiser les répertoires Subversion sur le web, est vulnérable à des attaques par script intersite au moyen de noms de fichiers et de répertoires contrefaits dans les dépôts.</p> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version 2.3.3-1.1+deb7u3 de websvn.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-462.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un dépassement de tas dans la fonction cmd_submitf dans cgi/cmd.c de Nagios, un système de surveillance et de gestion d'hôtes, services et réseaux, permettait à des attaquants distants de provoquer un déni de service (erreur de segmentation) à l'aide d'un long message à cmd.cgi.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 3.4.1-3+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets nagios3.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-461.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un fichier magique mal formé pourrait déclencher une erreur de segmentation et donc le plantage des applications du fait d'un écrasement de tampon dans la fonction file_check_mem.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 5.11-2+deb7u9.</p> <p>Nous vous recommandons de mettre à jour vos paquets file.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-460.data" # $Id: $
