Bonjour, quelques anciennes annonces de sécurité de plus.
Les textes en anglais sont ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-68x.wml Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution complète de virtualisation sur les machines x86 basée sur Quick Emulator (Qemu). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7909";>CVE-2016-7909</a> <p>Quick Emulator(Qemu) construit avec la prise en charge de l'émulateur PC-Net II d'AMD est vulnérable à un problème de boucle infinie. Il pourrait survenir lors de la réception de paquets à l'aide de pcnet_receive().</p> <p>Un utilisateur ou un processus privilégié dans un client pourrait utiliser ce problème pour planter le processus de Qemu sur l'hôte menant à un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8909";>CVE-2016-8909</a> <p>Quick Emulator(Qemu) construit avec la prise en charge de l'émulation du contrôleur HDA d'Intel est vulnérable à un problème de boucle infinie. Il pourrait survenir lors du traitement du flux de tampons DMA lors du transfert de données dans <q>intel_hda_xfer</q>.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour consommer un nombre excessif de cycles de processeur sur l'hôte, avec pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8910";>CVE-2016-8910</a> <p>Quick Emulator(Qemu) construit avec la prise en charge de l'émulation du contrôleur ethernet RTL8139 est vulnérable à un problème de boucle infinie. Il pourrait survenir lors de la transmission de paquets dans le mode d'opération C+.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour consommer un nombre excessif de cycles de processeur sur l'hôte, avec pour conséquence une situation de déni de service.</p></li> </ul> <p>Autres problèmes corrigés dont les requêtes CVE sont en attente :</p> <ul> <li>Quick Emulator(Qemu) construit avec la prise en charge de l'émulation NIC i8255x (PRO100) est vulnérable à un problème de fuite de mémoire. Il pourrait survenir lors de la déconnexion du périphérique, et, en le faisant à de très nombreuses reprises, cela pourrait avoir pour conséquence la divulgation de la mémoire de l'hôte, affectant d'autres services sur l'hôte. <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour provoquer un déni de service sur l'hôte ou éventuellement le plantage du processus de Qemu sur l'hôte.</p></li> <li>Quick Emulator(Qemu) construit avec le système de fichiers VirtFS, partageant un répertoire de l'hôte au moyen de la prise en charge du système de fichiers de Plan 9 (9pfs), est vulnérable à plusieurs problèmes de fuite de mémoire. <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour divulguer des octets de la mémoire de l'hôte avec pour conséquence un déni de service pour d'autres services.</p></li> <li>Quick Emulator(Qemu) construit avec le système de fichiers VirtFS, partageant un répertoire de l'hôte au moyen de la prise en charge du système de fichiers de Plan 9 (9pfs), est vulnérable à un problème de dépassement d'entier. Il pourrait survenir en accédant à des valeurs de xattributes. <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour planter l'instance du processus de Qemu avec pour conséquence un déni de service.</p></li> <li>Quick Emulator(Qemu) construit avec le système de fichiers VirtFS, partageant un répertoire de l'hôte au moyen de la prise en charge du système de fichiers de Plan 9 (9pfs), est vulnérable à un problème de fuite de mémoire. Il pourrait survenir lors de la création d'attributs étendus à l'aide d'un message <q>Txattrcreate</q>. <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour divulguer la mémoire de l'hôte, affectant ainsi d'autres services sur l'hôte ou éventuellement en plantant le processus de Qemu sur l'hôte.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u18.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-689.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il y avait une attaque possible par déni de service dans Cairo, une bibliothèque multiplateforme de rendu d'images vectorielles. Un fichier SVG pourrait générer des pointeurs non valables à partir de _cairo_image_surface vers write_png.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans cairo version 1.12.2-3+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets cairo.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-688.data" # $Id: $
#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité a été découverte dans le paquet tre qui pourrait permettre à un attaquant de réaliser une corruption de tas contrôlée.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.8.0-3+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets tre.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-687.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Tobias Stoeckmann du projet OpenBSD a découvert la vulnérabilité suivante dans libXtst, l'extension X Record :</p> <p>Une validation insuffisante de données provenant du serveur X peut provoquer un accès mémoire hors limites ou des boucles infinies (déni de service).</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2:1.2.1-1+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libxtst.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-686.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une régression a été découverte dans la dernière mise à jour de libxi. Un pointeur non initialisé pourrait être libéré, provoquant des plantages.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2:1.6.1-1+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets libxi.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-685-2.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Tobias Stoeckmann du projet OpenBSD a découvert la vulnérabilité suivante dans libXi, la bibliothèque d'extension Input X11 :</p> <p>Une validation insuffisante de données provenant du serveur X peut provoquer un accès mémoire hors limites ou des boucles infinies (déni de service).</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2:1.6.1-1+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libxi.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-685.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Tobias Stoeckmann du projet OpenBSD a découvert la vulnérabilité suivante dans libX11, la bibliothèque X11 côté client :</p> <p>Une validation insuffisante de données provenant du serveur X peut provoquer une lecture mémoire (XGetImage()) ou une écriture mémoire (XListFonts()) hors limites.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2:1.5.0-1+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets libx11.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-684.data" # $Id: $
#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le paquet graphicsmagick qui pourraient conduire à un déni de service au moyen d'échecs d'assertion et d'utilisation de processeur ou de mémoire. Certaines vulnérabilités peuvent aussi mener à l'exécution de code mais aucune exploitation n'est connue à ce jour.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7448";>CVE-2016-7448</a> <p>Utah RLE : rejet de fichiers tronqués ou aberrants qui provoquent des allocations énormes de mémoire ou une consommation excessive de processeur </p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7996";>CVE-2016-7996</a> <p>absence de vérification que la table de correspondance de couleur fournie ne contenait pas plus de 256 entrées avec pour conséquence un potentiel dépassement de tas</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7997";>CVE-2016-7997</a> <p>déni de service à l'aide d'un plantage dû à une assertion</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8682";>CVE-2016-8682</a> <p>dépassement de pile dans ReadSCTImage (sct.c)</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8683";>CVE-2016-8683</a> <p>échec d'allocation de mémoire dans ReadPCXImage (pcx.c)</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8684";>CVE-2016-8684</a> <p>échec d'allocation de mémoire dans MagickMalloc (memory.c)</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.3.16-1.1+deb7u5.</p> <p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-683.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cette mise à jour inclut les modifications de tzdata jusqu'à la version 2016h pour les liaisons Perl. Pour la liste des modifications, consultez la DLA-681-1.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1:1.58-1+2016h.</p> <p>Nous vous recommandons de mettre à jour vos paquets libdatetime-timezone-perl.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-682.data" # $Id: $
#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cette mise à jour inclut les modifications de tzdata jusqu'à la version 2016h. Les modifications notables sont les suivantes :</p> <ul> <li>Gaza, Asie et Hébron Asie, fin de l'heure d'été le 29-10-2016 à 01:00, et non le 21-10-2016 à 00:00 ;</li> <li>Istanbul est passée de EET/EEST (+02/+03) à +03 de façon permanente le 07-09-2016. Dans la mesure où le fuseau horaire a changé, la divergence avec EET/EEST aura lieu le 30-10-2016 ;</li> <li>la Turquie est passée de EET/EEST (+02/+03) à +03 de façon permanente le 7-09-2016 ;</li> <li>nouvelle correction de la seconde intercalaire à 23:59:60 UTC le 31-12-2016 selon le Bulletin C 52 de l'IERS.</li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2016h-0+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets tzdata.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-681.data" # $Id: $
#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cette DLA est une correction de DLA 680-1 qui mentionnait que bash 4.2+dfsg-0.1+deb7u3 était corrigé. La version du paquet corrigé était 4.2+dfsg-0.1+deb7u4.</p> <p>Pour être complet, le texte de la DLA 680-1 est disponible ci-dessous avec uniquement la correction des informations de version, sans autre modification.</p> <p>Un ancien vecteur d'attaque a été corrigé dans bash, un interpréteur de langage de commande compatible à sh.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7543";>CVE-2016-7543</a> <p>Variables d'environnement SHELLOPTS+PS4 contrefaites pour l'occasion en combinaison avec des binaires setuid non sûrs.</p> <p>Le binaire setuid doit à la fois utiliser l'appel de fonction setuid() et l'appel de fonction system() ou popen(). Avec cette combinaison, il est possible d'accéder aux droits administrateurs.</p> <p>En complément, bash doit être l'interpréteur de commande par défaut (/bin/sh doit pointer vers bash) pour que le système soit vulnérable.</p> <p>L'interpréteur de commande par défaut dans Debian est dash et il n'y a pas de binaire setuid connu dans Debian avec la combinaison non sure décrite ci-dessus.</p> <p>Il pourrait néanmoins y avoir des logiciels locaux, avec la combinaison non sure décrite ci-dessus, qui pourraient bénéficier de cette correction.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans version 4.2+dfsg-0.1+deb7u4.</p> <p>Nous vous recommandons de mettre à jour vos paquets bash.</p> <p>S'il y a des logiciels locaux qui ont cette combinaison non sure et qui appliquent un setuid() à d'autres utilisateurs que le superutilisateur, alors, cette mise à jour ne corrigera pas le problème. Il devra être traité dans le binaire setuid non sûr.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-680-2.data" # $Id: $
#use wml::debian::translation-check translation="adc5cbd36ecf754028e80bbdee567a58bca03b81" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Un ancien vecteur d'attaque a été corrigé dans bash, un interpréteur de langage de commande compatible à sh.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7543";>CVE-2016-7543</a> <p>Des variables d'environnement SHELLOPTS+PS4 contrefaites pour l'occasion en combinaison avec des binaires setuid non sûrs peuvent avoir pour conséquence une possible élévation de privilèges à ceux du superutilisateur.</p> <p>Le binaire setuid doit à la fois utiliser l'appel de fonction setuid() et l'appel de fonction system() ou popen(). Avec cette combinaison, il est possible d'accéder aux droits administrateurs.</p> <p>En complément, bash doit être l'interpréteur de commande par défaut (/bin/sh doit pointer vers bash) pour que le système soit vulnérable.</p> <p>L'interpréteur de commande par défaut dans Debian est dash et il n'y a pas de binaire setuid connu dans Debian avec la combinaison non sure décrite ci-dessus.</p> <p>Il pourrait néanmoins y avoir des logiciels locaux, avec la combinaison non sure décrite ci-dessus, qui pourraient bénéficier de cette correction.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans version 4.2+dfsg-0.1+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets bash.</p> <p>S'il y a des logiciels locaux qui ont cette combinaison non sure et qui appliquent un setuid() à d'autres utilisateurs que le superutilisateur, alors, cette mise à jour ne corrigera pas le problème. Il devra être traité dans le binaire setuid non sûr.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-680.data" # $Id: $
