Bonjour,

le mercredi 09 août 14:36, jean-pierre giraud a écrit :

>Relecture.
Merci, intégrée.
D’autres commentaires ?

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs bogues ont été découverts dans PostgreSQL, un système de serveur
de bases de données relationnelles. La branche 8.4 a atteint sa fin de vies pour l’amont,
mais elle est encore présente dans Squeeze de Debian. Cette nouvelle version mineure de
LTS fournit les correctifs appliqués par l’amont à la version 9.1.20,
rétroportée vers la version 8.4.22 qui était la dernière version publiée
officiellement par les développeurs de PostgreSQL. Cette initiative de LTS pour
Squeeze-lts est un projet de la communauté parrainé par credativ GmbH.</p>

<p>Cette publication est la dernière mise à jour de LTS PostgreSQL 8.4. Les
utilisateurs devraient migrer vers une version plus récente de PostgreSQL à la
première occasion.</p>

<h3>Migration vers la version 8.4.22lts6</h3>

<p>Un vidage et restauration n’est pas requis pour ceux qui utilisent la
version 8.4.X. Cependant, si vous mettez à niveau à partir d’une version
antérieure à la version 8.4.22, consultez les notes de publication.</p>

<h3>Correctifs</h3>

<p>Correction de problèmes de boucle infinie et de débordement de tampon dans
des expressions rationnelles (Tom Lane)</p>

<p>Une très grande série de caractères dans des expressions entre crochets
pourrait provoquer des boucles infinies dans certains cas ou, dans d’autres,
des écrasements de mémoire
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-0773";>CVE-2016-0773</a>).</p>

<p>Réalisation d’un arrêt immédiat en cas de suppression du fichier
postmaster.pid (Tom Lane)</p>

<p>Dorénavant, le maître de poste vérifie chaque minute environ que le
fichier postmaster.pid est présent et contient ses propres PID. Sinon, il
réalise un arrêt immédiat comme s’il avait reçu un SIGQUIT. La principale
motivation pour ce changement est de veiller que des échecs dans la grappe de
construction soient nettoyés sans intervention manuelle. Mais il sert aussi à
limiter les effets indésirables si un administrateur de base de données
supprime par la force le fichier postmaster.pid et puis en démarre un
nouveau.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-432.data"
# $Id: dla-432.wml,v 1.2 2017/08/10 06:44:58 jptha-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Tomcat 6, une implémentation des spécifications dans la servlet et JSp
(JavaServer Pages ) de Java, et un pur environnement de serveur Java, était
affecté par de nombreux problèmes de sécurité avant la version 6.0.45.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5174";>CVE-2015-5174</a>

<p>Une vulnérabilité de traversée de répertoire dans RequestUtil.java dans
Tomcat d’Apache versions 6.x avant 6.0.45, 7.x avant 7.0.65, et 8.x
avant 8.0.27, permet à des attaquants distants authentifiés de contourner les
restrictions voulues de SecurityManager, et d’obtenir une liste du répertoire
parent à l'aide d'un « /.. » (barre oblique point point) dans un nom de chemin
utilisé par une application web avec un appel getResource,
getResourceAsStream ou getResourcePaths, comme montré dans le répertoire
$CATALINA_BASE/webapps.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5345";>CVE-2015-5345</a>

<p>Le composant Mapper dans Tomcat d’Apache versions 6.x avant 6.0.45, 7.x
avant 7.0.67, 8.x avant 8.0.30 et 9.x avant 9.0.0.M2, traite les redirections
avant de considérer les contraintes et filtres de sécurité, ce qui permet aux
attaquants distants de connaitre l’existence d’un répertoire à l'aide d'un URL
auquel manque un caractère de barre oblique inverse à la fin.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5351";>CVE-2015-5351</a>

<p>Les applications Manager et Host Manager dans Tomcat d’Apache établissent
des sessions et envoient des jetons CSRF pour de nouvelles requêtes
arbitraires, permettant aux attaquants distants de contourner un mécanisme de
protection CSRF en utilisant un jeton.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0706";>CVE-2016-0706</a>

<p>Tomcat d’Apache versions 6.x avant 6.0.45, 7.x avant 7.0.68, 8.x
avant 8.0.31, et 9.x avant 9.0.0.M2, ne place pas
org.apache.catalina.manager.StatusManagerServlet dans la liste
org/apache/catalina/core/RestrictedServlets.properties. Cela permet à des
utilisateurs distants authentifiés de contourner les restrictions voulues de
SecurityManager et lire des requêtes HTTP arbitraires, et par la suite
découvrir les valeurs des ID de sessions, à l'aide d'une application web
contrefaite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0714";>CVE-2016-0714</a>

<p>L’implémentation de la persistance de session dans Tomcat d’Apache
versions 6.x avant 6.0.45, 7.x avant 7.0.68, 8.x avant 8.0.31, et 9.x
avant 9.0.0.M2, ne gère pas correctement les attributs de session. Cela permet
à des utilisateurs distants authentifiés de contourner les restrictions
voulues de SecurityManager, et d’exécuter du code arbitraire dans un contexte
privilégié à l'aide d'une application web plaçant un objet contrefait dans une
session.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0763";>CVE-2016-0763</a>

<p>La méthode setGlobalContext dans org/apache/naming/factory
/ResourceLinkFactory.java dans Tomcat d’Apache ne tient pas compte si les
appelants de ResourceLinkFactory.setGlobalContext sont autorisés, permettant
à des utilisateurs distants authentifiés de contourner les restrictions
voulues de SecurityManager et de lire ou écrire des données arbitraires
d’application, ou de causer un déni de service (interruption d’application) à
l'aide d'une application web qui établit un contexte global contrefait.</p>
</li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 6.0.45-1~deb6u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tomcat6.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-435.data"
# $Id: dla-435.wml,v 1.2 2017/08/10 06:44:58 jptha-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour corrige les CVE décrits ci-dessous.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8812";>CVE-2015-8812</a>

<p>Une faille a été découverte dans le pilote iw_cxgb3 d'Infiniband. À chaque
fois qu'il ne peut envoyer un paquet pour cause de saturation réseau, il
libère le tampon du paquet mais essaie plus tard de renvoyer le paquet. Cette
utilisation après libération peut amener un déni de service (plantage ou
suspension), une perte de données ou une augmentation de droits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-0774";>CVE-2016-0774</a>

<p>Le correctif pour
<a href="https://security-tracker.debian.org/tracker/CVE-2015-1805";>CVE-2015-1805</a>
dans les versions de noyau antérieures à Linux 3.16, ne gérait pas correctement
le cas d'une mauvaise lecture partielle atomique. Un utilisateur local sans
droit particulier pourrait utiliser ce défaut pour planter le système ou
divulguer de la mémoire du noyau dans l'espace utilisateur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2384";>CVE-2016-2384</a>

<p>Andrey Konovalov a découvert qu'un périphérique MIDI USB
avec un descripteur USB non valable peut déclencher une double
libération. Cela peut être utilisé par un utilisateur physiquement présent
pour obtenir une augmentation de droits.</p></li>

</ul>

<p>De plus, la mise à jour corrige quelques vieux problèmes de sécurité sans référence
CVE :</p>

<p>Plusieurs API du noyau permettaient de lire ou écrire deux GiB de données
ou plus en un seul morceau, pouvant conduire à un dépassement d'entier
lorsqu’appliquées à certains types de système de fichiers, de socket ou de
périphérique. L’impact de sécurité complet n’a pas été évalué.</p>

<p>Enfin, elle corrige une régression dans 2.6.32-48squeeze17 susceptible de
faire planter Samba dans quelques situations.</p>

<p>Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés
dans la version 2.6.32-48squeeze20. Il s’agit *vraiment* de la dernière mise à
jour du paquet linux-2.6 pour Squeeze.</p>

<p>Pour la distribution oldstable (Wheezy), le noyau n’était pas affecté par les
problèmes de dépassement d’entier et les problèmes restants seront corrigés
dans la version 3.2.73-2+deb7u3.</p>

<p>Pour la distribution stable (Jessie), le noyau n’était pas affecté par les
problèmes de dépassement d’entier ou
<a href="https://security-tracker.debian.org/tracker/CVE-2016-0774";>CVE-2016-0774</a>,
et les problèmes restants seront corrigés dans la
version 3.16.7-ckt20-1+deb8u4.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-439.data"
# $Id: dla-439.wml,v 1.2 2017/08/10 06:44:59 jptha-guest Exp $

Répondre à