Bonjour,

Voici quelques traductions de dla adaptées de :
DLA     DSA
439     3503

Merci d'avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs bogues ont été découverts dans PostgreSQL, un système de serveur
de bases de données relationnelles. La branche 8.4 est obsolète pour l’amont,
mais encore présente dans Squeeze de Debian. Cette nouvelle version mineure de
LTS fournit des correctifs appliqués par l’amont à la version 9.1.20,
rétroportée vers la version 8.4.22 qui est la dernière version publiée
officiellement par les développeurs de PostgreSQL. Cet effort de LTS pour
Squeeze-lts est un projet de la communauté parrainé par credativ GmbH.</p>

<p>Cette publication est la dernière mise à jour de LTS PostgreSQL 8.4. Les
utilisateurs devraient migrer vers une version plus récente de PostgreSQL à la
première occasion.</p>

<h3>Migration vers la version 8.4.22lts6</h3>

<p>Un vidage et restauration n’est pas requis pour ceux utilisant la
version 8.4.X. Cependant, si vous mettez à niveau à partir d’une version
antérieure à la version 8.4.22, consultez les notes de publication.</p>

<h3>Correctifs</h3>

<p>Correction de problèmes de boucle infinie et de débordement de tampon dans
des expressions rationnelles (Tom Lane)</p>

<p>Une très grande série de caractères dans des expressions entre crochets
pourrait provoquer des boucles infinies dans certains cas ou dans d’autres,
des écrasements de mémoire
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-0773";>CVE-2016-0773</a>).</p>

<p>Réalisation d’un arrêt immédiat en cas de suppression du fichier
postmaster.pid (Tom Lane)</p>

<p>Le maître de poste dorénavant vérifie aux environs de chaque minute que le
fichier postmaster.pid est présent et contient ses propres PID. Sinon, il
réalise un arrêt immédiat comme s’il avait reçu un SIGQUIT. La principale
motivation pour ce changement est de veiller que des échecs dans la grappe de
construction soient nettoyés sans intervention manuelle. Mais il sert aussi à
limiter les effets indésirables si un administrateur de base de données
supprime par la force le fichier postmaster.pid et puis en redémarre un
nouveau.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-432.data"
# $Id: dla-432.wml,v 1.1 2017/08/07 05:34:57 jptha-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Gustavo Grieco a découvert différents problèmes de sécurité dans gdk-pixbuf
de Gtk+2.0.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4491";>CVE-2015-4491</a>

<p>Dépassement de tas lors du traitement d’images BMP, permettant d’exécuter
du code arbitraire à l’aide d’images malformées.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7673";>CVE-2015-7673</a>

<p>Dépassement de tas lors du traitement d’images TGA, permettant d’exécuter
du code arbitraire ou un déni de service (plantage du processus) à l’aide
d’images malformées.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7674";>CVE-2015-7674</a>

<p>Dépassement d’entier lors du traitement d’images GIF, permettant d’exécuter
du code arbitraire ou un déni de service (plantage du processus) à l’aide
d’images malformées.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2.20.1-2+deb6u2 de gtk+2.0. Nous vous recommandons de mettre à jour
vos paquets gtk+2.0.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-434.data"
# $Id: dla-434.wml,v 1.1 2017/08/07 05:34:57 jptha-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tomcat 6, une implémentation de les spécifications dans la servlet et JSp
(JavaServer Pages ) de Java, et un pur environnement de serveur Java, était
affectés par de nombreux problèmes de sécurité avant la version 6.0.45.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5174";>CVE-2015-5174</a>

<p>Une vulnérabilité de traversée de répertoire dans RequestUtil.java dans
Tomcat d’Apache versions 6.x avant 6.0.45, 7.x avant 7.0.65, et 8.x
avant 8.0.27, permet à des attaquants distants authentifiés de contourner les
restrictions voulues de SecurityManager, et d’obtenir une liste du répertoire
parent à l'aide d'un « /.. » (barre oblique point point) dans un nom de chemin
utilisé par une application web  avec un appel getResource,
getResourceAsStream ou getResourcePaths, comme montrée dans le répertoire
$CATALINA_BASE/webapps.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5345";>CVE-2015-5345</a>

<p>Le composant Mapper dans Tomcat d’Apache versions 6.x avant 6.0.45, 7.x
avant 7.0.67, 8.x avant 8.0.30 et 9.x avant 9.0.0.M2, traite les redirections
avant de considérer les contraintes et filtres de sécurité, ce qui permet aux
attaquants distants de connaitre l’existence d’un répertoire à l'aide d'un URL
auquel manque un caractère de barre oblique inverse à la fin.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5351";>CVE-2015-5351</a>

<p>Les applications Manager et Host Manager dans Tomcat d’Apache établissent
des sessions et envoient des jetons CSRF pour de nouvelles requêtes
arbitraires, permettant aux attaquants distants de contourner un mécanisme de
protection CSRF en utilisant un jeton.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0706";>CVE-2016-0706</a>

<p>Tomcat d’Apache versions 6.x avant 6.0.45, 7.x avant 7.0.68, 8.x
avant 8.0.31, et 9.x avant 9.0.0.M2, ne place pas
org.apache.catalina.manager.StatusManagerServlet dans la liste
/catalina/core/RestrictedServlets.properties d’org/apache. Cela permet à des
utilisateurs distants authentifiés de contourner les restrictions voulues de
SecurityManager et lire des requêtes HTTP arbitraires, et par la suite
découvrir les valeurs des ID de sessions, à l'aide d'une application web
contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0714";>CVE-2016-0714</a>

<p>L’implémentation de la persistence de session dans Tomcat d’Apache
versions 6.x avant 6.0.45, 7.x avant 7.0.68, 8.x avant 8.0.31, et 9.x
avant 9.0.0.M2, ne gère pas correctement les attributs de session. Cela permet
à des utilisateurs distants authentifiés de contourner les restrictions
voulues de SecurityManager, et d’exécuter du code arbitraire dans un contexte
privilégié à l'aide d'un application web plaçant un objet contrefait dans une
session.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0763";>CVE-2016-0763</a>

<p>La méthode setGlobalContext dans org/apache/naming/factory
/ResourceLinkFactory.java dans Tomcat d’Apache ne tient pas compte si les
appelants de ResourceLinkFactory.setGlobalContext sont autorisés, permettant
à des utilisateurs distants authentifiés de contourner les restrictions
voulues de SecurityManager et de lire ou écrite les données arbitraires
d’application, ou de causer un déni de service (interruption d’application) à
l'aide d'une application web qui établit un contexte global contrefait.</p>
</li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 6.0.45-1~deb6u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tomcat6.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-435.data"
# $Id: dla-435.wml,v 1.1 2017/08/07 05:34:57 jptha-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>L’amont a publié la version 0.99. Avec elle, Sqeeze-lts est mise à niveau
vers la dernière publication en ligne de l’amont, en utilisant la même
approche que pour les autres distributions.</p>

<p>Les modifications ne sont pas strictement nécessaires pour une utilisation,
mais les utilisateurs de la version précédente dans Squeeze pourraient être
incapables d’utiliser toutes les signatures de virus actuelles, et pourraient
recevoir des avertissements.</p>

<p>En raison d’un changement dans le soname inclus dans cette publication,
libclamav a été mise à jour vers libclamav7. Cela requiert des mises à jour
pour les utilisations externes de libclamav. Pour python-clamav, klamav et
libclamunrar, ces changements sont, ou le seront très prochainement,
disponibles.</p>

<p>Malheureusement, pour dansguardian, le paquet a été publié pour Squeeze
avec des problèmes latents qui excluent sa reconstruction. Si vous utilisez
dansguardian, n’essayez pas de mettre à niveau vers le nouveau paquet clamav.
</p>

<p>Autrement, si vous utilisez clamav, nous vous recommandons de mettre à
niveau vers cette version.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-437.data"
# $Id: dla-437.wml,v 1.1 2017/08/07 05:34:57 jptha-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour corrige les CVE décrits ci-dessous.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8812";>CVE-2015-8812</a>

<p>Une faille a été découverte dans le pilote iw_cxgb3 d'Infiniband. À chaque
fois qu'il ne peut envoyer un paquet pour cause de saturation réseau, il
libère le tampon du paquet mais essaie plus tard de renvoyer le paquet. Cette
utilisation après libération peut amener un déni de service (plantage ou
suspension), une perte de données ou une augmentation de droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0774";>CVE-2016-0774</a>

<p>Il a été découvert que le correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2015-1805";>CVE-2015-1805</a>
dans les versions de noyau antérieures à Linux 3.16, ne gérait pas correctement
le cas d'une mauvaise lecture partielle atomique. Un utilisateur local sans
droit particulier pourrait utiliser ce défaut pour planter le système ou
divulguer de la mémoire noyau dans l'espace utilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2384";>CVE-2016-2384</a>

<p>Andrey Konovalov a découvert qu'un périphérique MIDI USB spécialement
préparé avec descripteur USB non valable peut déclencher une double
libération. Cela peut être utilisé par un utilisateur physiquement présent
pour obtenir une augmentation de droits.</p></li>

</ul>

<p>De plus elle corrige quelques vieux problèmes de sécurité sans référence
CVE :</p>

<p>Plusieurs API du noyau permettaient de lire ou écrire deux GiB de données
ou plus en un seul morceau, pouvant conduire à un dépassement
lorsqu’appliquées à certains types de système de fichiers, de socket ou de
périphérique. L’impact de sécurité complet n’a pas été évalué.</p>

<p>Enfin, il corrige une régression dans 2.6.32-48squeeze17 susceptible de
faire planter Samba dans quelques situations.</p>

<p>Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés
dans la version 2.6.32-48squeeze20. Il s’agit *vraiment* de la dernière mise à
jour du paquet linux-2.6 pour Squeeze.</p>

<p>Pour la distribution oldstable (Wheezy), le noyau n’était affecté par les
problèmes de dépassement d’entier et les problèmes restants seront corrigés
dans la version 3.2.73-2+deb7u3.</p>

<p>Pour la distribution stable (Jessie), le noyau n’était affecté par les
problèmes de dépassement d’entier ou
<a href="https://security-tracker.debian.org/tracker/CVE-2016-0774";>CVE-2016-0774</a>,
et les problèmes restants seront corrigés dans la
version 3.16.7-ckt20-1+deb8u4.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-439.data"
# $Id: dla-439.wml,v 1.1 2017/08/07 05:34:57 jptha-guest Exp $

Répondre à