Bonjour, le dimanche 06 août 0:16, jean-pierre giraud a écrit :
>Quelques suggestions. Merci, corrigés. D’autres relectures ? Amicalement. -- Jean-Paul
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation de la plateforme Java d'Oracle, avec pour conséquence des fuites du bac à sable Java, la divulgation d'informations, un déni de service ou un chiffrement non sûr.</p><ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7575">CVE-2015-7575</a> <p>Un défaut a été découvert dans la façon dont TLS 1.2 pourrait utiliser la fonction de hachage MD5 lors de la signature de paquets ServerKeyExchange et d'authentification du client pendant lâinitialisation de connexion TLS.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8126">CVE-2015-8126</a> <p>Plusieurs dépassements de tampon dans les fonctions, (1) png_set_PLTE et (2) png_get_PLTE, dans les versions de libpng avant 1.0.64, 1.1.x, 1.2.x avant 1.2.54, 1.3.x, 1.4.x avant 1.4.17, 1.5.x avant 1.5.24 et 1.6.x avant 1.6.19, permettent à des attaquants distants de provoquer un déni de service (plantage d'application) ou éventuellement dâavoir dâautres impacts non précisés, à lâaide d'une faible valeur de profondeur de couleurs dans un tronçon dâIHDR (c'est-à -dire, d'en-tête dâimage) dâune image PNG.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8472">CVE-2015-8472</a> <p>Un dépassement de tampon dans la fonction png_set_PLTE des versions de libpng avant 1.0.65, 1.1.x, 1.2.x avant 1.2.55, 1.3.x, 1.4.x avant 1.4.18, 1.5.x avant 1.5.25 et 1.6.x avant 1.6.20, permet à des attaquants distants de provoquer un déni de service (plantage d'application) ou éventuellement dâavoir dâautres impacts non précisés, à lâaide d'une faible valeur de profondeur de couleurs dans un tronçon dâIHDR (c'est-à -dire, d'en-tête dâimage) dâune image PNG. REMARQUE : cette vulnérabilité existe à cause dâun correctif incomplet pour <a href="https://security-tracker.debian.org/tracker/CVE-2015-8126">CVE-2015-8126</a>. </p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0402">CVE-2016-0402</a> <p>Une vulnérabilité non précisée dans les composants Java SE et Java SE Embedded dâOracle Java SE 6u105, 7u91 et 8u66 et Java SE Embedded 8u65, permet aux attaquants distants dâaffecter lâintégrité à lâaide de moyens non connus relatifs au réseautage.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0448">CVE-2016-0448</a> <p>Une vulnérabilité non précisée dans les composants Java SE et Java SE Embedded dâOracle Java SE 6u105, 7u91 et 8u66 et Java SE Embedded 8u65, permet à des utilisateurs distants dâaffecter la confidentialité à lâaide de moyens relatifs à JMX.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0466">CVE-2016-0466</a> <p>Le composant JAXP dans OpenJDK nâimpose pas correctement la limite totalEntitySizeLimit. Un attaquant pouvant faire quâune application Java traite un fichier XML contrefait pour l'occasion pourrait utiliser ce défaut pour consommer excessivement de la mémoire.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0483">CVE-2016-0483</a> <p>Une vulnérabilité non précisée dans les composants Java SE et Java SE Embedded dâOracle Java SE 6u105, 7u91 et 8u66 et Java SE Embedded 8u65, et JRockit R28.3.8 permet à des attaquants distants dâaffecter les confidentialité, intégrité et disponibilité à lâaide de moyens relatifs à AWT. </p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0494">CVE-2016-0494</a> <p>Une vulnérabilité non précisée dans les composants Java SE et Java SE pour lâembarqué des éditions dâOracle Java SE 6u105, 7u91 et 8u66 et Java SE Embedded 8u65, permet aux attaquants distants dâaffecter la confidentialité, l'intégrité et la disponibilité à lâaide de moyens relatifs à 2D.</p></li> </ul> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été résolus dans la version 6b38-1.13.10-1~deb6u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openjdk-6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dla-410.data" # $Id: dla-410.wml,v 1.2 2017/08/09 20:37:15 jptha-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été corrigées dans la bibliothèque GNU C de Debian, eglibc :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9761">CVE-2014-9761</a> <p>La fonction mathématique nan* ne gère pas correctement les chaînes de charge utile, produisant une allocation de tas non limitée, basée sur la longueur des arguments. Pour résoudre ce problème, lâanalyse de la charge utile a été réécrite hors de strtod dans une fonction séparée que nan* peut appeler directement.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8776">CVE-2015-8776</a> <p>La fonction strftime() fait quâil est possible dâaccéder à de la mémoire non valable, permettant une erreur de segmentation dans lâapplication appelante. </p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8778">CVE-2015-8778</a> <p>Hcreate() était vulnérable à un dépassement d'entier, permettant un accès hors limites du tas.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8779">CVE-2015-8779</a> <p>La fonction catopen() souffrait de plusieurs allocations de pile non limitées.</p></li> </ul> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version eglibc_2.11.3-4+deb6u9 de eglibc. Nous vous recommandons de mettre à jour vos paquets eglibc.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dla-411.data" # $Id: dla-411.wml,v 1.2 2017/08/09 20:37:15 jptha-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Cette mise à jour corrige les CVE décrits ci-dessous :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7566">CVE-2015-7566</a> <p>Ralf Spenneberg d'OpenSource Security a signalé que le pilote visor plante lorsqu'un périphérique USB contrefait pour l'occasion, sans terminaison de sortie « bulk », est détecté.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8767">CVE-2015-8767</a> <p>Un déni de service de SCTP a été découvert, qui peut être déclenché par un attaquant local durant un évènement de dépassement de délai pour un signal de surveillance (« Heartbeat Timeout ») après une initiation de connexion de type « 4-way ».</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8785">CVE-2015-8785</a> <p>Il a été découvert que des utilisateurs locaux autorisés à écrire dans un fichier d'un système de fichiers FUSE pourraient provoquer un déni de service (boucle infinie dans le noyau).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0723">CVE-2016-0723</a> <p>Une vulnérabilité dâutilisation de mémoire après libération a été découverte dans lâioctl TIOCGETD . Un attaquant local pourrait utiliser ce défaut pour créer un déni de service.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2069">CVE-2016-2069</a> <p>Andy Lutomirski a découvert une situation de compétition dans le nettoyage du TLB lors de changement de tâches. Sur un système SMP, cela peut conduire à un plantage, une fuite d'information ou une augmentation de droits.</p></li> </ul> <p>Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés dans la version 2.6.32-48squeeze19. De plus, cette version fournit la version 2.6.32.70 stable mise à jour par lâamont. Il sâagit de la dernière mise à jour du paquet linux-2.6 pour Squeeze.</p> <p>Pour la distribution oldstable (Wheezy), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution stable (Jessie), <a href="https://security-tracker.debian.org/tracker/CVE-2015-7566">CVE-2015-7566</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-8767">CVE-2015-8767</a> et <a href="https://security-tracker.debian.org/tracker/CVE-2016-0723">CVE-2016-0723</a> ont été corrigés dans la version 3.16.7-ckt20-1+deb8u3 du paquet linux et les problèmes restants seront corrigés bientôt.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dla-412.data" # $Id: dla-412.wml,v 1.2 2017/08/09 20:37:16 jptha-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été corrigées dans eglibc, la bibliothèque C de GNU :</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7547">CVE-2015-7547</a> <p>L'équipe de sécurité de Google et Red Hat ont découvert que la fonction eglibc de résolution de noms d'hôte, getaddrinfo, lors du traitement de requêtes AF_UNSPEC (pour les recherches duales A/AAAA), pourrait mal gérer ses tampons internes, menant à un dépassement de pile et à l'exécution de code arbitraire. Cette vulnérabilité affecte la plupart des applications réalisant la résolution de noms d'hôte avec getaddrinfo, dont les services système.</p> <p>Les vulnérabilités suivantes corrigées nâont pas encore dâaffectation CVE :</p> <p>Andreas Schwab a signalé une fuite de mémoire (allocation de mémoire sans libération correspondante) lors du traitement de certaines réponses DNS dans getaddrinfo, lié à la fonction _nss_dns_gethostbyname4_r. Cette vulnérabilité pourrait conduire à un déni de service.</p></li> </ul> <p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la version eglibc_2.11.3-4+deb6u11 de eglibc. De plus cette version corrige le correctif pour <a href="https://security-tracker.debian.org/tracker/CVE-2014-9761">CVE-2014-9761</a> dans Squeeze, qui avait marqué quelques symboles comme publics au lieu de privés.</p> <p>Même sâil est seulement nécessaire de sâassurer que tous les processus nâutilisent plus lâancienne eglibc, il est recommandé de redémarrer les machines après la mise à niveau de sécurité.</p> <p>Nous vous recommandons de mettre à jour vos paquets eglibc.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dla-416.data" # $Id: dla-416.wml,v 1.2 2017/08/09 20:37:17 jptha-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Les versions 4.4.1 et précédentes sont affectées par deux problèmes de sécurité : une vulnérabilité possible de contrefaçon de requête côté serveur (« server-side request forgery ») pour certains URI locaux, signalée par Ronni Skansin et une vulnérabilité de redirection non contrôlée, signalée par Shailesh Suthar.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2221">CVE-2016-2221</a> <p>Wordpress pourrait être vulnérable à une attaque de redirection non contrôlée qui a été corrigée par une meilleure validation de lâURL utilisé dans les redirections HTTP.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2222">CVE-2016-2222</a> <p>Wordpress était sensible à une vulnérabilité de contrefaçon de requête, par exemple, il pourrait considérer 0.1.2.3 comme une IP valable.</p></li> </ul> <p>Pour Debian 6 <q>Squeeze</q>, ce problème a été corrigé dans la version 3.6.1+dfsg-1~deb6u9.</p> <p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dla-418.data" # $Id: dla-418.wml,v 1.2 2017/08/09 20:37:17 jptha-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Gtk+2.0, une bibliothèque dâinterface pour lâutilisateur, était vulnérable à un dépassement d'entier dans sa fonction gdk_cairo_set_source_pixbuf lors de lâallocation de grands blocs de mémoire.</p> <p>Pour Debian 6 <q>Squeeze</q>, ce problème a été corrigé dans la version 2.20.1-2+deb6u1 de gtk+2.0. Nous vous recommandons de mettre à jour vos paquets gtk+2.0.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dla-419.data" # $Id: dla-419.wml,v 1.2 2017/08/09 20:37:17 jptha-guest Exp $