Bonjour,
Le 09/08/2017 à 10:44, JP Guillonneau a écrit :
> Bonjour,
> détails.
> Amicalement.
> --
> Jean-Paul
Adoptés. Merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>L'amont a publié la version 0.98.7. Avec elle, Sqeeze-lts est mise à
niveau vers la dernière publication alignée sur l'approche utilisée pour les
autres versions de Debian.</p>

<p>Les modifications ne sont pas strictement nécessaires pour une
utilisation, mais les utilisateurs de la version précédente dans Squeeze
pourraient être incapables d’utiliser toutes les signatures de virus
actuelles, et pourraient recevoir des avertissements.</p>

<p>Les corrections de bogues présentes dans cette version comprennent les
correctifs de sécurité relatifs aux fichiers empaquetés ou chiffrés
(<a href="https://security-tracker.debian.org/tracker/CVE-2014-9328";>CVE-2014-9328</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-1461";>CVE-2015-1461</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-1462";>CVE-2015-1462</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2015-1463";>CVE-2015-1463</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-2170";>CVE-2015-2170</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-2221";>CVE-2015-2221</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-2222";>CVE-2015-2222</a> et <a href="https://security-tracker.debian.org/tracker/CVE-2015-2668";>CVE-2015-2668</a>)
et plusieurs correctifs pour la bibliothèque embarquée libmspack, y compris
une potentielle boucle infinie dans le décodeur de Quantum (<a href="https://security-tracker.debian.org/tracker/CVE-2014-9556";>CVE-2014-9556</a>).</p>

<p>Si vous utilisez clamav, nous vous recommandons fortement de mettre à
niveau vers cette version.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-233.data"
# $Id: dla-233.wml,v 1.3 2017/08/09 09:59:06 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-0188";>CVE-2011-0188</a>

<p>La fonction VpMemAlloc dans bigdecimal.c de la classe BigDecimal dans les
versions 1.9.2-p136 et précédentes de Ruby, utilisée sur Apple Mac OS X
avant la version 10.6.7 et d'autres plateformes, n'alloue pas correctement
la mémoire. Cela permet à des attaquants en fonction du contexte d'exécuter
du code arbitraire ou de provoquer un déni de service (plantage de
l'application) avec des moyens impliquant la création d'une grande valeur
BigDecimal dans un processus 64 bits, liés à un « problème de troncature
d'entier ».</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2705";>CVE-2011-2705</a>

<p>Utilisation de SVN r32050 de l'amont pour modifier l'état du PRNG afin
d'empêcher la répétition d'une séquence de nombres aléatoires lors de
bifurcations de processus ayant le même PID. Rapport fait par Eric Wong.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4522";>CVE-2012-4522</a>

<p>La fonction rb_get_path_check de file.c dans Ruby 1.9.3 avant le niveau
du correction 286 et Ruby 2.0.0 avant r37163 permet à des attaquants en
fonction du contexte de créer des fichiers dans des emplacements inattendus
ou avec des noms inattendus à l'aide d'un octet NUL dans un chemin de
fichier.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0256";>CVE-2013-0256</a>

<p>darkfish.js dans RDoc 2.3.0 jusqu'à 3.12 et 4.x avant 4.0.0.preview2.1,
utilisé dans Ruby, ne génère pas correctement les documents. Cela permet à
des attaquants distants de conduire des attaques de script intersite (XSS)
à l'aide d'un URL contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2065";>CVE-2013-2065</a>

<p>(1) DL et (2) Fiddle dans Ruby 1.9 avant 1.9.3 correctif 426, et 2.0
avant 2.0.0 correction 195, ne réalise pas de vérification de souillure pour
les fonctions natives. Cela permet des attaquants en fonction du contexte de
contourner les restrictions de niveau de sécurité (« $SAFE level »)
voulues.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1855";>CVE-2015-1855</a>

<p>L'implémentation de comparaison de noms d'hôte par l'extension d'OpenSSL
viole la norme RFC 6125</p></li>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-235.data"
# $Id: dla-235.wml,v 1.2 2017/08/09 09:57:39 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>De multiples problèmes de sécurité ont été corrigés dans la version
Debian Squeeze-lts de Wordpress :</p>

<p>des attaquants distants pourraient...</p>
<ul>
<li> ... envoyer des fichiers avec des noms non valables ou non sûrs ;</li>
<li> ... monter des attaques par ingénierie sociale ;</li>
<li> ... compromettre un site grâce à un script intersite ;</li>
<li> ... injecter des commandes SQL ;</li>
<li> ... provoquer un déni de service ou la divulgation d'informations.</li>
</ul>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9031";>CVE-2014-9031</a>

<p>Jouko Pynnonen a découvert une vulnérabilité de script intersite (XSS)
non authentifié dans wptexturize(), exploitable grâce à des commentaires
ou des articles.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9033";>CVE-2014-9033</a>

<p>Une vulnérabilité par contrefaçon de requête intersite (CSRF) dans le
processus de changement de mot de passe pourrait être utilisée par un
attaquant pour piéger un utilisateur en changeant son mot de passe.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9034";>CVE-2014-9034</a>

<p>Javier Nieto Arevalo et Andres Rojas Guerrero ont signalé un potentiel
déni de service dans la manière dont la bibliothèque phpass est utilisée
pour gérer les mots de passe, dans la mesure aucune longueur maximum de mot
de passe n'est imposée.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9035";>CVE-2014-9035</a>

<p>John Blackbourn a signalé un script intersite (XSS) dans la fonction
« Press This » (utilisée pour publier rapidement avec le signapplet
– « bookmarklet » – d'un navigateur).</q>).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9036";>CVE-2014-9036</a>

<p>Robert Chapin a signalé script intersite (XSS) dans le filtrage HTML de
CSS dans les articles.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9037";>CVE-2014-9037</a>

<p>David Anderson a signalé une vulnérabilité de comparaison de hachage pour
les mots de passe stockés utilisant le schéma MD5 d'ancien style. Bien que
cela soit peu probable, cela pourrait être exploité pour compromettre un
compte, si l'utilisateur ne s'est pas connecté depuis la mise à niveau vers
Wordpress 2.5 (introduite dans Debian le 2 avril 2008), et provoquer une
collision du hachage MD5 du mot de passe imputable à une comparaison PHP
dynamique.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9038";>CVE-2014-9038</a>

<p>Ben Bidner a signalé une contrefaçon de requête du côté du serveur (SSRF)
dans le cœur HTTP qui bloque insuffisamment l'espace d'adresses IP de
bouclage.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9039";>CVE-2014-9039</a>

<p>Momen Bassel, Tanoy Bose et Bojan Slavkovic ont signalé une vulnérabilité
dans le processus de réinitialisation de mot de passe : un changement
d'adresse électronique n'invaliderait pas un message antérieur de
réinitialisation de mot de passe.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3438";>CVE-2015-3438</a>

<p>Cedric Van Bockhaven a signalé et Gary Pendergast, Mike Adams et Andrew
Nacin de l'équipe de sécurité de WordPress ont corrigé une vulnérabilité de
script intersite, qui pourrait permettre à des utilisateurs anonymes de
compromettre un site.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3439";>CVE-2015-3439</a>

<p>Jakub Zoczek a découvert une vulnérabilité très limitée de script
intersite qui pourrait être utilisée comme élément d'une attaque par
ingénierie sociale.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3440";>CVE-2015-3440</a>

<p>Jouko Pynnönen a découvert une vulnérabilité de script intersite qui
pourrait permettre à des commentateurs de compromettre un site.</p></li>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-236.data"
# $Id: dla-236.wml,v 1.2 2017/08/09 09:57:39 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités critiques ont été découvertes dans le système d'impression CUPS :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1158";>CVE-2015-1158</a>

<p> – Mise à jour inappropriée du compte de référence</p>
<p>Cupsd utilise des chaînes de numéro de référence à portée globale. Lors de
l'analyse d'une requête de tâche d'impression, cupsd décrémente trop le
numéro de référence d'une chaîne à partir d'une requête. Ainsi, un attaquant
peut libérer prématurément une chaine arbitraire de portée globale. Il peut
utiliser cela pour démanteler les opérations privilégiées de protection
d'ACL, et charger un fichier de configuration de remplacement, et ensuite
exécuter du code arbitraire sur la machine cible.</p>

<p>Ce bogue est exploitable dans les configurations par défaut, et n'a pas
besoin de droits spéciaux autres que la capacité d'impression de base.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1159";>CVE-2015-1159</a>

<p> – Script intersite</p>
<p>Un bogue de script intersite dans le moteur de modèle de CUPS permet au
bogue ci-dessus d'être exploité lorsqu'un utilisateur navigue sur le web. Ce
script intersite est accessible dans la configuration par défaut des
instances Linux de CUPS, et permet à un attaquant de contourner les réglages
de configuration par défaut qui lient l'ordonnanceur de CUPS à l'interface
de « localhost » ou de bouclage.</p></li>

</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-239.data"
# $Id: dla-239.wml,v 1.2 2017/08/09 09:57:39 jipege1-guest Exp $

Répondre à