Bonjour, Le 07/11/2016 à 10:06, JP Guillonneau a écrit : > Bonjour, > suggestions. > Amicalement. > -- > Jean-Paul Suggestions appliquées. Merci pour vos nouvelles relectures. Je renvoie le fichier modifier. Amicalement, jipege
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8615";>CVE-2016-8615</a> <p>Un serveur HTTP malveillant pourrait injecter de nouveaux cookies pour des domaines arbitraires dans un conteneur à cookies.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8616";>CVE-2016-8616</a> <p>Lors de la réutilisation d'une connexion, curl faisait des comparaisons de noms d'utilisateur et de mots de passe, sans tenir compte de la casse, avec les connexions existantes.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8617";>CVE-2016-8617</a> <p>Dans les systèmes avec des adresses 32 bits dans l'espace utilisateur (par exemple x86, ARM, x32), le calcul de la valeur de la taille du tampon de sortie dans la fonction encode base64 pourrait conduire à un dépassement dâentier, si la taille d'entrée était d'au moins 1 GB de données, provoquant le sous-dimensionnement du tampon de sortie à allouer.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8618";>CVE-2016-8618</a> <p>La fonction curl_maprintf() pourrait être entraînée à une double libération de zone de mémoire à cause d'une multiplication de size_t non sûre dans les systèmes utilisant des variables size_t 32 bits.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8619";>CVE-2016-8619</a> <p>L'implémentation de Kerberos pourrait être entraînée à une double libération de zone de mémoire lors de la lecture d'un des champs de longueur à partir d'une socket.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8620";>CVE-2016-8620</a> <p>La fonctionnalité <q>globbing</q> de l'outil curl pourrait écrire dans des emplacements de mémoire incorrects lors de l'analyse de plages non valables.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8621";>CVE-2016-8621</a> <p>La fonction curl_getdate pourrait effectuer des lectures hors limites lors de l'analyse de chaînes de dates non valables.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8622";>CVE-2016-8622</a> <p> La fonction de décodage d'URL « percent-encoding » renverrait une variable d'entier signée 32 bits comme longueur, même si elle a alloué un tampon de destination de plus de 2 Go, qui mènerait à une écriture hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8623";>CVE-2016-8623</a> <p>libcurl pourrait accéder à un emplacement de mémoire déjà libéré à cause d'un accès concurrent à des cookies partagés. Cela pourrait conduire à un déni de service ou à la divulgation d'informations sensibles.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8624";>CVE-2016-8624</a> <p>curl n'analyserait pas correctement le composant d'autorité d'une URL lorsque le nom d'hôte se termine par un caractère « # », et pourrait être entraîné à se connecter à un hôte différent.</p></li> </ul> <p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 7.38.0-4+deb8u5.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.51.0-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets curl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dsa-3705.data" # $Id: dsa-3705.wml,v 1.2 2016/11/11 23:12:26 jipege1-guest Exp $
