Bonjour, quelques anciennes annonces de sécurité de plus.
Les textes en anglais sont ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-65x.wml Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="b3cc13b7ccbf1dd91c7c8a19767aef32facd5b11" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La fonction manager_dispatch_notify_fd dans systemd permettait à des utilisateurs locaux de provoquer un déni de service (plantage du système) à l'aide d'un message de longueur nulle reçu sur une socket de notify. Cela faisait qu'une erreur devait être renvoyée et le gestionnaire de notification désactivé.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 44-11+deb7u5.</p> <p>Nous vous recommandons de mettre à jour vos paquets systemd.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-659.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans Icedove, la version de Debian du client de messagerie et de nouvelles Mozilla Thunderbird : plusieurs erreurs de sécurité de la mémoire pourraient conduire à l'exécution de code arbitraire ou à un déni de service..</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 45.4.0-1~deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets icedove.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-658.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert que libarchive gérait mal des entrées d'archive de liens directs de taille de données non nulle, permettant éventuellement à des attaquants distants d'écrire dans des fichiers arbitraires au moyen d'archives contrefaites pour l'occasion.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 3.0.4-3+wheezy4.</p> <p>Nous vous recommandons de mettre à jour vos paquets libarchive.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-657.data" # $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Paul Rohar a découvert que libdbd-mysql-perl, le pilote de base de données DBI Perl pour MySQL et MariaDB, construisait un message d'erreur dans un tampon de taille fixe, menant à un plantage (erreur _FORTIFY_SOURCE) et, éventuellement, à un déni de service.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.021-1+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libdbd-mysql-perl.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-656.data" # $Id: $
#use wml::debian::translation-check translation="04d941142caea6346972828d64c63b95b571b8f1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités de sécurité ont été découvertes dans mpg123, un décodeur et lecteur MPEG niveaux 1/2/3. Un attaquant pourrait tirer avantage de ces défauts pour provoquer un déni de service à l'encontre de mpg123 ou des applications utilisant la bibliothèque libmpg123 avec un fichier d'entrée soigneusement contrefait.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9497";>CVE-2014-9497</a> <p>Myautsai PAN a découvert un défaut dans le code d'initialisation du décodeur de libmpg123. Un fichier d'entrée mp3 contrefait pour l'occasion peut être utilisé pour provoquer un dépassement de tampon. Cela pourrait avoir pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-1000247";>CVE-2016-1000247</a> <p>Jerold Hoong a découvert un défaut dans le code de traitement des étiquettes id3 de libmpg123. Un fichier d'entrée mp3 contrefait pour l'occasion pourrait être utilisé pour provoquer une lecture hors limite du tampon. Cela pourrait avoir pour conséquence un déni de service.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.14.4-1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mpg123.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-655.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il y avait un dépassement d'entier dans libxfixes, une bibliothèque fournissant une interface client pour l'extension <q>XFIXES</q> de X11.</p> <p>La validité du champ 32 bits <q>rep.length</q> n'était pas vérifiée, ce qui permettait un dépassement d'entier sur les systèmes 32 bits. Un serveur malveillant pourrait envoyer INT_MAX comme <q>length</q> qui est alors multiplié par la taille de XRectangle. Dans ce cas, le client pourrait ne pas lire la totalité des données du serveur, sortant de la synchronisation.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans libxfixes version 1:5.0-4+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libxfixes.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-654.data" # $Id: $
#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7161";>CVE-2016-7161</a> <p>Un dépassement de tas dans le rappel de .receive de xlnx.xps-ethernetlite dans qemu-kvm permet à des attaquants d'exécuter du code arbitraire sur l'hôte de QEMU à l'aide d'un paquet ethlite trop grand.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7170";>CVE-2016-7170</a> <p>La fonction vmsvga_fifo_run dans hw/display/vmware_vga.c dans qemu-kvm est vulnérable à un accès mémoire hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7908";>CVE-2016-7908</a> <p>La fonction mcf_fec_do_tx dans hw/net/mcf_fec.c dans qemu-kvm ne limite pas correctement le compte de descripteurs de tampon lors de la transmission de paquets. Cela permet à des administrateurs de l’OS local client de provoquer un déni de service (boucle infinie et plantage du processus QEMU) au moyen de vecteurs impliquant un descripteur de tampon d'une longueur de 0 et de valeurs contrefaites dans bd.flags.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u16.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-653.data" # $Id: $
#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans QEMU :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7161";>CVE-2016-7161</a> <p>Un dépassement de tas dans le rappel de .receive de xlnx.xps-ethernetlite dans QEMU (ou Quick Emulator) permet à des attaquants d'exécuter du code arbitraire sur l'hôte de QEMU à l'aide d'un paquet ethlite trop grand.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7170";>CVE-2016-7170</a> <p>La fonction vmsvga_fifo_run dans hw/display/vmware_vga.c dans QEMU (ou Quick Emulator) est vulnérable à un accès mémoire hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7908";>CVE-2016-7908</a> <p>La fonction mcf_fec_do_tx dans hw/net/mcf_fec.c dans QEMU (ou Quick Emulator) ne limite pas correctement le compte de descripteurs de tampon lors de la transmission de paquets. Cela permet à des administrateurs de l’OS local client de provoquer un déni de service (boucle infinie et plantage du processus QEMU) au moyen de vecteurs impliquant un descripteur de tampon d'une longueur de 0 et de valeurs contrefaites dans bd.flags.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u16.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-652.data" # $Id: $
#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Divers problèmes de sécurité ont été découverts et corrigés dans graphicsmagick dans Debian 7 <q>Wheezy</q> LTS.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7446";>CVE-2016-7446</a> <p>Problème de dépassement de tas dans le rendu de fichiers MVG/SVG.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7447";>CVE-2016-7447</a> <p>Dépassement de tas de la fonction EscapeParenthesis()</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7449";>CVE-2016-7449</a> <p>Problèmes liés à TIFF dus à l'utilisation de strlcpy.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7800";>CVE-2016-7800</a> <p>Correction d'un dépassement d'entier par le bas qui mène à un dépassement de tas lors de l'analyse de blocs de type 8BIM.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.3.16-1.1+deb7u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-651.data" # $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un défaut d'implémentation a été découvert dans mat, la boîte à outils d'anonymisation des métadonnées. L'implémentation de la prise en charge des PDF ne dispose pas de la prise en charge de l'anonymisation des métadonnées dans les images incorporées. Comme il n'est pas facile de corriger ce défaut, il a été décidé de supprimer complètement pour l'instant la prise en charge des PDF.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.3.2-1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mat.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-650.data" # $Id: $
