Bonjour, quelques anciennes annonces de sécurité de plus.
Les textes en anglais sont ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-58x.wml Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un défaut a été découvert dans la fonction pdf_load_mesh_params() permettant un accès en écriture hors limites à des emplacements de mémoire. Avec une entrée soigneusement contrefait, cela pourrait déclencher un dépassement de tas, ayant pour conséquence un plantage de l'application ou éventuellement un autre impact non indiqué.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.9-2+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets mupdf.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-589.data" # $Id: $
#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Voici une mise à jour de la DLA-558-1. La construction précédente portait un numéro de révision considéré comme inférieur à celui dans Wheezy et par conséquent n'a été pas installée lors de la mise à niveau.</p> <p>Le texte de la DLA-558-1 est inclus pour référence (avec quelques améliorations).</p> <p>Deux problèmes de sécurité ont été découverts dans le paquet mongodb, liés à la journalisation.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6494";>CVE-2016-6494</a> <p>fichier d'historique .dbshell lisible par tous</p></li> <li>Bogue Debian n° 833087 <p>authentification par question-réponse vulnérable à des attaques par force brute dans un fichier journal non protégé</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.0.6-1.1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mongodb.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-588-2.data" # $Id: $
#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Deux problèmes de sécurité ont été découverts dans le paquet mongodb, liés à la journalisation.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6494";>CVE-2016-6494</a> <p>fichier d'historique .dbshell lisible par tous</p></li> <li>TEMP-0833087-C5410D <p>authentification par question-réponse vulnérable à des attaques par force brute dans un fichier journal non protégé</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.0.6-1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mongodb.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-588.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une possible vulnérabilité double libération de zone de mémoire a été découverte dans fontconfig. Le problème était dû à une validation insuffisante lors de l'analyse du fichier cache.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.9.0-7.1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets fontconfig.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-587.data" # $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5419";>CVE-2016-5419</a> <p>Bru Rom a découvert que libcurl essaierait de reconnecter une session TLS même si le certificat du client a changé.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5420";>CVE-2016-5420</a> <p>libcurl n'examinait pas les certificats des clients quand elle réutilisait des connexions TLS.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 7.26.0-1+wheezy14.</p> <p>Nous vous recommandons de mettre à jour vos paquets curl.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-586.data" # $Id: $
#use wml::debian::translation-check translation="fce40adff1381ed16a3e5ebae7ad1ff8fcbbb739" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans le navigateur web Firefox de Mozilla : plusieurs erreurs de sécurité de la mémoire, dépassements de tampon et autres erreurs d'implémentation pourraient conduire à l'exécution de code arbitraire, une vulnérabilité de script intersite, la divulgation d'informations et un contournement de la politique de même origine.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 45.3.0esr-1~deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets firefox-esr.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-585.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>John Lightsey et Todd Rinaldo ont signalé que le chargement opportuniste de modules optionnels peut provoquer le chargement involontaire de code par de nombreux programmes à partir du répertoire de travail courant (qui pourrait être changé pour un autre répertoire sans que l'utilisateur s'en rende compte) et éventuellement mener à une élévation de privilèges, comme cela a été démontré dans Debian avec certaines combinaisons de paquets installés.</p> <p>Le problème est lié au chargement de modules par Perl à partir du tableau de répertoires « includes » (« @INC ») dans lequel le dernier élément est le répertoire courant (« . »). Cela signifie que, quand <q>perl</q> souhaite charger un module (lors d'une première compilation ou du chargement différé d'un module durant l'exécution), Perl cherche finalement le module dans le répertoire courant, dans la mesure où « . » est le dernier répertoire inclus dans son tableau de répertoires inclus à explorer. Le problème vient de la demande de bibliothèques qui sont dans « . » mais qui ne sont pas autrement installées.</p> <p>Avec cette mise à jour, le module Sys::Syslog de Perl est mis à jour pour ne pas charger de modules à partir du répertoire courant.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.29-1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libsys-syslog-perl.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-584.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Dominic Scheirlinck et Scott Geary de Vend ont signalé un comportement non sûr dans le serveur web lighttpd. Lighttpd assignait aux variables d'environnement internes HTTP_PROXY les valeurs d'en-tête du mandataire à partir des requêtes du client. Cela pourrait être utilisé pour porter des attaques de type « homme du milieu » (MITM) ou pour initier des connexions à des hôtes arbitraires.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 1.4.31-4+deb7u5.</p> <p>Nous vous recommandons de mettre à jour vos paquets lighttpd.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-583.data" # $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans libidn. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8948";>CVE-2015-8948</a> <p>Il survient une lecture hors limite quand idn lit un octet vide en entrée.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6261";>CVE-2016-6261</a> <p>Une lecture de pile hors limites est exploitable dans idna_to_ascii_4i.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6263";>CVE-2016-6263</a> <p>Le rejet par stringprep_utf8_nfkc_normalize de chaînes UTF-8 non valables, provoque un plantage.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.25-2+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libidn.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-582.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Aleksandar Nikolic a découvert que l'absence de vérification des entrées dans l'analyseur RTF de LibreOffice peut avoir pour conséquence l'exécution de code arbitraire lors de l'ouverture d'un document mal formé.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1:3.5.4+dfsg2-0+deb7u7.</p> <p>Nous vous recommandons de mettre à jour vos paquets libreoffice.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-581.data" # $Id: $
#use wml::debian::translation-check translation="287a42f20ec93bae0e2314439ae82557c905292c" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>L'envoi précédent de graphite2 (du 26 avril 2016) incluait un fichier .shlib qui ne correspondait pas aux bibliothèques partagées fournies empêchant la construction des paquets ayant une dépendance de construction aux bibliothèques graphite2.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.3.6-1~deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets graphite2.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-580.data" # $Id: $
