Bonjour, quelques anciennes annonces de sécurité de plus.
Les textes en anglais sont ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-69x.wml Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Xen ne prend pas en compte correctement les CR0.TS et CR0.EM. Cela permet à des utilisateurs locaux d'un système d’exploitation client x86 de lire ou de modifier des informations d'état des registres FPU, MMX ou XMM appartenant à des tâches arbitraires sur le client en modifiant une instruction pendant que l'hyperviseur se prépare à l'émuler.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.1.6.lts1-3.</p> <p>Nous vous recommandons de mettre à jour vos paquets xen.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-699.data" # $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur rapide de processeur. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7909";>CVE-2016-7909</a> <p>Quick Emulator (Qemu) construit avec la prise en charge de l'émulateur PC-Net II d'AMD est vulnérable à un problème de boucle infinie. Il pourrait survenir lors de la réception de paquets à l'aide de pcnet_receive().</p> <p>Un utilisateur ou un processus privilégié dans un client pourrait utiliser ce problème pour planter le processus de Qemu dans l'hôte menant à un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8909";>CVE-2016-8909</a> <p>Quick Emulator (Qemu) construit avec la prise en charge de l'émulation du contrôleur HDA d'Intel est vulnérable à un problème de boucle infinie. Il pourrait survenir lors du traitement du flux de tampons DMA lors du transfert de données dans <q>intel_hda_xfer</q>.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour consommer un nombre excessif de cycles de processeur sur l'hôte, avec pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8910";>CVE-2016-8910</a> <p>Quick Emulator (Qemu) construit avec la prise en charge de l'émulation du contrôleur ethernet RTL8139 est vulnérable à un problème de boucle infinie. Il pourrait survenir lors de la transmission de paquets dans le mode d'opération C+.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour consommer un nombre excessif de cycles de processeur sur l'hôte, avec pour conséquence une situation de déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9101";>CVE-2016-9101</a> <p>Quick Emulator (Qemu) construit avec la prise en charge de l'émulation NIC i8255x (PRO100) est vulnérable à un problème de fuite de mémoire. Il pourrait survenir lors de la déconnexion du périphérique, et, en le faisant à de très nombreuses reprises, cela pourrait avoir pour conséquence la divulgation de la mémoire de l'hôte, affectant d'autres services sur l'hôte. </p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour provoquer un déni de service sur l'hôte ou éventuellement le plantage du processus de Qemu sur l'hôte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9102";>CVE-2016-9102</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2016-9105";>CVE-2016-9105</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2016-9106";>CVE-2016-9106</a> <p>Quick Emulator (Qemu) construit avec le système de fichiers VirtFS, partageant un répertoire de l'hôte au moyen de la prise en charge du système de fichiers de Plan 9 (9pfs), est vulnérable à plusieurs problèmes de fuite de mémoire.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour divulguer des octets de la mémoire de l'hôte avec pour conséquence un déni de service pour d'autres services.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9104";>CVE-2016-9104</a> <p>Quick Emulator (Qemu) construit avec le système de fichiers VirtFS, partageant un répertoire de l'hôte au moyen de la prise en charge du système de fichiers de Plan 9 (9pfs), est vulnérable à un problème de dépassement d'entier. Il pourrait survenir en accédant à des valeurs de xattributes.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour planter l'instance du processus de Qemu avec pour conséquence un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9103";>CVE-2016-9103</a> <p>Quick Emulator (Qemu) construit avec le système de fichiers VirtFS, partageant un répertoire de l'hôte au moyen de la prise en charge du système de fichiers de Plan 9 (9pfs), est vulnérable à un problème de fuite d'informations. Il pourrait survenir en accédant à une valeur de xattribute avant qu'elle soit écrite.</p> <p>Un utilisateur privilégié dans un client pourrait utiliser ce défaut pour divulguer des octets de la mémoire de l'hôte.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u18.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-698.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il y avait une vulnérabilité d'<q>écriture arbitraire</q> dans bsdiff, un outil pour appliquer des patchs entre des fichiers binaires.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans bsdiff version 4.3-14+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets bsdiff.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-697.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Tony Finch et Marco Davids ont signalé un échec d'assertion dans BIND, une implémentation de serveur de noms de domaines, qui provoque l'arrêt du processus du serveur. Cette vulnérabilité de déni de service est liée à un défaut dans le traitement de réponses avec des enregistrements de DNAME provenant de serveurs faisant autorité et affecte principalement les résolveurs récursifs.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1:9.8.4.dfsg.P1-6+nmu2+deb7u13.</p> <p>Nous vous recommandons de mettre à jour vos paquets bind9.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-696.data" # $Id: $
#use wml::debian::translation-check translation="7399be288c66a990e13ba163e87f97a70e9334bf" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans SPIP, un moteur de publication pour site web écrit en PHP.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7980";>CVE-2016-7980</a> <p>Nicolas Chatelain de Sysdream Labs a découvert une vulnérabilité de contrefaçon de requête intersite (CSRF) dans l'action valider_xml de SPIP. Cela permet à des attaquants distants de faire usage de vulnérabilités éventuelles supplémentaires telles que celle décrite dans le <a href="https://security-tracker.debian.org/tracker/CVE-2016-7998";>CVE-2016-7998</a>.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7981";>CVE-2016-7981</a> <p>Nicolas Chatelain de Sysdream Labs a découvert une vulnérabilité d'attaque par script intersite réfléchie (XSS) dans l'action validater_xml de SPIP. Un attaquant pourrait tirer avantage de cette vulnérabilité pour injecter du code arbitraire en piégeant un administrateur dans l'ouverture d'un lien malveillant.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7982";>CVE-2016-7982</a> <p>Nicolas Chatelain de Sysdream Labs a découvert une attaque d'énumération de fichiers ou de traversée de répertoires dans l'action validator_xml de SPIP. Un attaquant pourrait utiliser cela pour énumérer les fichiers dans un répertoire arbitraire dans le système de fichiers.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7998";>CVE-2016-7998</a> <p>Nicolas Chatelain de Sysdream Labs a découvert une possible vulnérabilité d'exécution de code PHP dans les fonctions <q>template compiler</q> ou <q>template composer</q> de SPIP. En combinaison avec les vulnérabilités XSS et CSRF décrites dans cette annonce, un attaquant distant pourrait tirer avantage de cela pour exécuter du code PHP arbitraire sur le serveur.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7999";>CVE-2016-7999</a> <p>Nicolas Chatelain de Sysdream Labs a découvert une contrefaçon de requête côté serveur dans l'action valider_xml de SPIP. Des attaquants pourraient tirer avantage de cette vulnérabilité pour envoyer des requêtes HTTP ou FTP à des serveurs distants auxquels ils n'ont pas d'accès direct, éventuellement en contournant des contrôles d'accès tels qu'un pare-feu.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.1.17-1+deb7u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets spip.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-695.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Agostino Sarubbo de Gentoo a découvert un défaut dans l'analyseur de Windows Metafile Format (WMF) de libwmf qui provoquait l'allocation d'une quantité excessive de mémoire, menant éventuellement à un plantage.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.2.8.4-10.3+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libwmf.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-694.data" # $Id: $
#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>La bibliothèque libtiff et les utilitaires associés fournis dans libtiff-tools sont vulnérables à de nombreux problèmes de sécurité.</p> <p>Cette mise à jour retire de nombreux utilitaires qui ne sont plus pris en charge par l'amont et qui sont affectés par de multiples problèmes de corruption de mémoire :</p> <ul> <li>bmp2tiff (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3619";>CVE-2016-3619</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2016-3620";>CVE-2016-3620</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2016-3621";>CVE-2016-3621</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2016-5319";>CVE-2016-5319</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-8668";>CVE-2015-8668</a>)</li> <li>gif2tiff (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3186";>CVE-2016-3186</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2016-5102";>CVE-2016-5102</a>)</li> <li>ras2tiff</li> <li>sgi2tiff</li> <li>sgisv</li> <li>ycbcr</li> <li>rgb2ycbcr (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3623";>CVE-2016-3623</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2016-3624";>CVE-2016-3624</a>)</li> <li>thumbnail (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3631";>CVE-2016-3631</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2016-3632";>CVE-2016-3632</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2016-3633";>CVE-2016-3633</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2016-3634";>CVE-2016-3634</a> et <a href="https://security-tracker.debian.org/tracker/CVE-2016-8331";>CVE-2016-8331</a>)</li> </ul> <p>Cette mise à jour corrige aussi les problèmes suivants :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8128";>CVE-2014-8128</a> / <a href="https://security-tracker.debian.org/tracker/CVE-2015-7554";>CVE-2015-7554</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2016-5318";>CVE-2016-5318</a> <p>Plusieurs dépassements de tampon déclenchés par TIFFGetField() sur des étiquettes inconnues. En l'absence de correctif de l'amont, la liste des étiquettes connues a été étendue pour couvrir toutes celles qui sont en usage dans les utilitaires de TIFF.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5652";>CVE-2016-5652</a> <p>Dépassement de tas dans tiff2pdf.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6223";>CVE-2016-6223</a> <p>Fuite d'information dans libtiff/tif_read.c. Correction de lecture hors limites dans des fichiers mappés en mémoire dans TIFFReadRawStrip1() et TIFFReadRawTile1() quand StripOffset est au-delà de la valeur maximale de tmsize_t (problème signalé par Mathias Svensson).</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 4.0.2-6+deb7u7.</p> <p>Nous vous recommandons de mettre à jour vos paquets tiff.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-693.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Les applications utilisant libtiff peuvent déclencher des dépassements de tampon au moyen de TIFFGetField() lors du traitement d'images TIFF avec des étiquettes inconnues.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 3.9.6-11+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets tiff3.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-692.data" # $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-4658";>CVE-2016-4658</a> <p>Les nœuds de noms d'espace peuvent être copiés pour éviter des erreurs d'utilisation de mémoire après libération. Mais ils n'ont pas nécessairement une représentation physique dans un document, aussi, il suffit de les désactiver dans les intervalles de XPointer.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5131";>CVE-2016-5131</a> <p>L'ancien code invoquait la fonction xmlXPtrRangeToFunction. <q>range-to</q> n'est pas réellement une fonction mais un type spécial d'étape de position. Retirer cette fonction et toujours gérer <q>range-to</q> dans le code de XPath. L'ancienne fonction xmlXPtrRangeToFunction pourrait être aussi abusée pour déclencher une erreur d'utilisation de mémoire après libération avec une potentialité d'exécution distante de code.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.8.0+dfsg1-7+wheezy7.</p> <p>Nous vous recommandons de mettre à jour vos paquets libxml2.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-691.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une vulnérabilité a été découverte dans le paquet tar qui pourrait permettre à un attaquant d'écraser des fichiers arbitraires au moyen de fichiers contrefaits.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1.26+dfsg-0.1+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets tar.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-690.data" # $Id: $
