[RFR] wml://users/com/pog.wml

2017-08-12 Par sujet Quentin Lejard 
Bonjour,


Le 12/08/2017 à 11:46, Quentin Lejard a écrit :
>
> Bonjour,
>
> La traduction de la pages users/com/pog est nécessaire.
>
> Source en anglais :
>
> https://alioth.debian.org/scm/viewvc.php/webwml/english/users/com/pog.wml?root=webwml=log
>
>
Proposition de traduction.
Cordialement.
#use wml::debian::translation-check translation="1.1" maintainer="Quentin Lejard"
# From: Tibor Csernay 

Permanence Ostéopathique de la Gare, Lausanne, Suisse
http://www.pog.swiss/

#use wml::debian::users


Nous sommes un centre osthéopatique de 16 employés. Nous avons un serveur
Debian avec 10 stations de travail (terminaux clients) et deux imprimantes.
Nous utilisons Icedove avec l'extention Lightning pour nos mails et calendriers
ainsi qu'un script que nous avons développé en Python/tk sous licence GNU/GPL
pour nos besoins médicaux



Nous avons choisi Debian pour sa stabilité, sa sécurité et sa facilité
de maintenance. Nous aimons Debian car c'est entièrement gratuit et libre,
en comparaison avec les autres distributions basées sur Debian.

[RFR2] wml://security/2015/dla-19{2,3,4,5,6,7,8}.wml

2017-08-12 Par sujet jean-pierre giraud 
Bonjour,
Le 11/08/2017 à 13:52, JP Guillonneau a écrit :
> Bonjour,
> corrections éventuelles.
> Amicalement.
> --
> Jean-Paul
Corrigé. Je ne renvoie que le 193, le 192 ne concernant que des
problèmes d'espaces protégées. Merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS




https://security-tracker.debian.org/tracker/CVE-2015-1853;>CVE-2015-1853:

Protection des associations NTP symétriques authentifiées contre les
attaques par déni de service.

Un attaquant qui sait que les hôtes NTP A et B sont pairs entre eux
(association symétrique) peut envoyer un paquet avec des horodatages
aléatoires à l'hôte A avec l'adresse source de B qui réglera les variables
d'état NTP sur A selon les valeurs envoyées par l'attaquant. L'hôte A
enverra, à sa prochaine interrogation de B, un paquet avec l'horodatage
d'origine qui ne correspond pas à l'horodatage transmis de B et le paquet
sera rejeté. Si l'attaquant fait cela régulièrement pour les deux hôtes,
ils seront incapables de se synchroniser entre eux. C'est une attaque
par déni de service.

Selon la page https://www.eecis.udel.edu/~mills/onwire.html;>https://www.eecis.udel.edu/~mills/onwire.html,
l'authentification NTP est censée protéger les associations symétriques de
ces attaques, mais dans les spécifications NTPv3 (RFC 1305) et NTPv4
(RFC 5905) les variables d'état sont mises à jour avant que la vérification
d'authentification ne soit réalisée ce qui signifie que l'association est
vulnérable à l'attaque même quand l'authentification est activée.

Pour corriger ce problème, enregistrement des horodatages d'origine et
local seulement quand la vérification d'authentification (test5) a été
réussie.

https://security-tracker.debian.org/tracker/CVE-2015-1821;>CVE-2015-1821:

Correction de la configuration d'accès avec une taille de sous-réseau
indivisible par 4.

Lorsque l'accès à NTP ou cmdmon était configuré (dans chrony.conf ou à
l'aide d'un cmdmon authentifié) avec une taille de sous-réseau indivisible
par 4 et une adresse qui avait des bits non nuls dans le reste de
sous-réseau de 4 bits (par exemple 192.168.15.0/22 ou f000::/3), la nouvelle
configuration était écrite à un emplacement incorrect, éventuellement en
dehors du tableau alloué.

Un attaquant qui a la clé de commande et a le droit d'accéder à cmdmon
(par défaut, seul localhost est autorisé) pourrait exploiter cela pour
planter chronyd ou éventuellement exécuter du code arbitraire avec les
droits du processus de chronyd.

https://security-tracker.debian.org/tracker/CVE-2015-1822;>CVE-2015-1822:

Correction de l'initialisation des emplacements de réponse pour les
commandes authentifiées.

Lors de l'allocation de mémoire pour stocker des réponses de
non-réception à des requêtes de commandes authentifiées, le dernier pointeur
next n'était pas initialisé à NULL. Quand tous les emplacements de
réponse alloués sont utilisés, la réponse suivante pourrait être écrite dans
un emplacement mémoire non valable plutôt que d'être alloué à un nouvel
emplacement.

Un attaquant qui a la clé de commande et a le droit d'accéder à cmdmon
(par défaut, seul localhost est autorisé) pourrait exploiter cela pour
planter chronyd ou éventuellement exécuter du code arbitraire avec les
droits du processus de chronyd.




# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-193.data"
# $Id: dla-193.wml,v 1.2 2017/08/12 22:01:39 jipege1-guest Exp $

[RFR2] wml://security/2015/dla-18{0,1,2,3,4,6,7,8,9}.wml

2017-08-12 Par sujet jean-pierre giraud 
Bonjour,
Le 11/08/2017 à 13:51, JP Guillonneau a écrit :
> Bonjour,
> corrections éventuelles.
> Amicalement.
> --
> Jean-Paul
Corrigé. Je ne renvoie que le 182, les autres corrections ne concernant
que des problèmes d'espace. Merci pour vos nouvelles relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Nicolas Gregoire et Kevin Schaller ont découvert que Batik, une boîte à
outils pour le traitement des images SVG, pourrait charger des entités XML
externes par défaut. Si un utilisateur ou un système automatisé étaient
piégés par l'ouverture d'un fichier SVG contrefait pour l'occasion, un
attaquant pourrait éventuellement obtenir l'accès à des fichiers arbitraires
ou provoquer une consommation de ressources.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans batik
version 1.7-6+deb6u1


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-182.data"
# $Id: dla-182.wml,v 1.2 2017/08/12 21:52:50 jipege1-guest Exp $

[DONE] wml://users/com/skroutz.wml

2017-08-12 Par sujet Quentin Lejard 
Bonjour,


Le 11/08/2017 à 19:25, Quentin Lejard a écrit :
> Bonjour,
> deuxième tentative en LCFC !
>
> Merci JP de vos re lectures et suggestions.
>
> Cordialement.
Passage en DONE.
QL.

[RFR] wml://users/com/trovalost.wml

2017-08-12 Par sujet Quentin Lejard 
Bonjour,


Le 12/08/2017 à 11:30, Quentin Lejard a écrit :
>
> Bonjour,
>
> La traduction de la pages users/com/trovalost est nécessaire.
>
> Source en anglais :
>
> https://alioth.debian.org/scm/viewvc.php/webwml/english/users/com/trovalost.wml?root=webwml=log
>
>
Proposition de traduction.
Cordialement.
#use wml::debian::translation-check translation="1.1" maintainer="Quentin Lejard"
# From: Salvatore Capolupo 

Trovalost, Cosenza, Italie
http://trovalost.it/

#use wml::debian::users


   Nous utilisons Debian pour le développement et dans le but de tester
   des sites, par exemple. Environnement LAMP.

[ITT] wml://users/com/pog.wml

2017-08-12 Par sujet Quentin Lejard 
Bonjour,

La traduction de la pages users/com/pog est nécessaire.

Source en anglais :

https://alioth.debian.org/scm/viewvc.php/webwml/english/users/com/pog.wml?root=webwml=log

Je vais m'en charger.

RFR à suivre.

Cordialement,

QL

Re: [RFR] wml://security/2017/dsa-3905.wml

2017-08-12 Par sujet jean-pierre giraud 
Le 11/08/2017 à 09:56, Alban Vidal a écrit :
> Bonjour,
> On 08/11/2017 09:26 AM, Alban Vidal wrote:
>> Bonjour,
>> On 07/10/2017 12:46 PM, jean-pierre giraud wrote:
>>> Une nouvelle annonce de sécurité vient d'être publiée. En voici une
>>> traduction.
>>> Merci d'avance pour vos relectures.
>> Détails :
>> Je propose comme dans /security/2014/dla-120 :
>> s/server X X.org/server X de X.org/
>> Il manquait une parenthèse fermente, mais j'ai pu remarqué que dans la
>> version qui est en ligne elle y est.
>> Cordialement,
>> Alban
> Au temps pour moi, j'ai du répondre à un doublon... je viens de voir un
> DONE sur une suite de messages avec le même sujet.
> Vous aussi vous avez des doublons par moment ?
> Cordialement,
> 
> Alban
C'est corrigé. Merci Alban.
Pour les doublons, je n'ai rien remarqué de particulier. Cela peut être
lié à ton fournisseur d'accès.
Amicalement,
jipege

[ITT] wml://users/com/trovalost.wml

2017-08-12 Par sujet Quentin Lejard 
Bonjour,

La traduction de la pages users/com/trovalost est nécessaire.

Source en anglais :

https://alioth.debian.org/scm/viewvc.php/webwml/english/users/com/trovalost.wml?root=webwml=log

Je vais m'en charger.

RFR à suivre.

Cordialement,

QL

[RFR2] wml://security/2015/dla-17{0,1,2,3,4,6,7}.wml

2017-08-12 Par sujet jean-pierre giraud 
Bonjour,
Le 11/08/2017 à 11:50, JP Guillonneau a écrit :
> Bonjour,
> suggestions.
> (Désolé pour le doublon, mauvais clic)
> Amicalement.
> --
> Jean-Paul
Corrigé. Merci pour vos nouvelles relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

MATTA-2015-002

Florent Daigniere a découvert que PuTTY n'imposait pas un intervalle
acceptable pour la valeur du serveur Diffie-Hellman, comme l'exige la
RFC 4253, permettant éventuellement l'établissement d'une connexion
interceptable dans l'éventualité d'une vulnérabilité de serveur.

#779488,
https://security-tracker.debian.org/tracker/CVE-2015-2157;>CVE-2015-2157

Patrick Coleman a découvert que PuTTY n'effaçait pas de la mémoire les
informations de clés privées SSH-2 lors du chargement et de l'enregistrement
des fichiers de clés, ce qui pourrait avoir pour conséquence la divulgation
de données de clés privées.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans putty
version 0.60+2010-02-20-1+squeeze3


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-173.data"
# $Id: dla-173.wml,v 1.2 2017/08/12 17:55:35 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Plusieurs problèmes ont été découverts dans la manière dont tcpdump
gérait certains protocoles d'impression. Ces problèmes peuvent conduire
à un déni de service, ou, éventuellement, à l'exécution de code arbitraire.



https://security-tracker.debian.org/tracker/CVE-2015-0261;>CVE-2015-0261

Vérifications de limites manquantes dans le module d'impression « IPv6
Mobility »

https://security-tracker.debian.org/tracker/CVE-2015-2154;>CVE-2015-2154

Vérifications de limites manquantes dans le module d'impression ISOCLNS

https://security-tracker.debian.org/tracker/CVE-2015-2155;>CVE-2015-2155

Vérifications de limites manquantes dans le module d'impression ForCES



Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans tcpdump
version tcpdump_4.1.1-1+deb6u2
Merci à Romain Françoise qui a préparé cette mise à jour.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-174.data"
# $Id: dla-174.wml,v 1.2 2017/08/12 17:55:35 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Trois problèmes de la pile TLS de Mono sont corrigés.



https://security-tracker.debian.org/tracker/CVE-2015-2318;>CVE-2015-2318

L'implémentation de Mono de la pile SSL/TLS échouait à analyser l'ordre
des messages de l’initialisation de connexion. Cela pourrait permettre la
réussite de diverses attaques contre le protocole (« SKIP-TLS »).

https://security-tracker.debian.org/tracker/CVE-2015-2319;>CVE-2015-2319

L'implémentation de Mono de SSL/TLS contenait aussi la prise en charge
de chiffrements EXPORT faibles et était vulnérable à une attaque de type
« FREAK ».

https://security-tracker.debian.org/tracker/CVE-2015-2320;>CVE-2015-2320

Mono contenait un code de repli SSLv2 qui n'est plus nécessaire et peut
être considéré comme non sûr.



Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans mono
version 2.6.7-5.1+deb6u1


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-176.data"
# $Id: dla-176.wml,v 1.2 2017/08/12 17:55:35 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une boîte à
outils associée à SSL (« Secure Sockets Layer »). Le projet « Common
Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.



https://security-tracker.debian.org/tracker/CVE-2015-0209;>CVE-2015-0209

Une clé privée EC malformée pourrait résulter en une corruption de la
mémoire.

https://security-tracker.debian.org/tracker/CVE-2015-0286;>CVE-2015-0286

Stephen Henson a découvert que la fonction ASN1_TYPE_cmp() peut être
plantée, résultant en un déni de service.

https://security-tracker.debian.org/tracker/CVE-2015-0287;>CVE-2015-0287

Emilia Kaesper a découvert une corruption de la mémoire dans le
traitement ASN.1.

https://security-tracker.debian.org/tracker/CVE-2015-0288;>CVE-2015-0288

Une absence de vérification des entrées dans la fonction
X509_to_X509_REQ() pourrait résulter en un déni de service.

https://security-tracker.debian.org/tracker/CVE-2015-0289;>CVE-2015-0289

Michal Zalewski a découvert un déréférencement de pointeur NULL dans le
code de traitement PKCS#7, résultant en un déni de service.

https://security-tracker.debian.org/tracker/CVE-2015-0292;>CVE-2015-0292

Une absence de vérification des entrées dans le décodage base64 pourrait
résulter en une corruption de la

[RFR] wml://security/2017/dsa-393{7,8}.wml

2017-08-12 Par sujet jean-pierre giraud 
Bonjour,
deux nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Matviy Kotoniy a signalé que la fonction gdImageCreateFromGifCtx()
utilisée pour charger des images à partir de fichiers au format GIF dans
libgd2, une bibliothèque de création et de manipulation programmées
d'images, ne vidait pas la pile allouée aux tampons de table de couleur
avant leur utilisation, ce qui pourrait aboutir à la divulgation
d'informations lors du traitement d'un fichier contrefait pour l'occasion.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans
la version 2.1.0-5+deb8u10.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la
version 2.2.4-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets libgd2.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3938.data"
# $Id: dsa-3938.wml,v 1.1 2017/08/12 17:02:55 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Lilith Wyatt a découvert deux vulnérabilités dans le système de
surveillance réseau Zabbix qui peuvent avoir pour conséquence l'exécution
de code arbitraire ou l'écriture de bases de données par des mandataires
malveillants.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 1:2.2.7+dfsg-2+deb8u3.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés
avant la publication initiale.

Nous vous recommandons de mettre à jour vos paquets zabbix.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3937.data"
# $Id: dsa-3937.wml,v 1.1 2017/08/12 17:02:55 jipege1-guest Exp $

[RFR] wml://security/2015/dla-15{1,3,4}.wml​

2017-08-12 Par sujet jean-pierre giraud 
Bonjour,
Voici 3 traductions de dla
154 inspiré de dsa-3186
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

La mise à jour publiée pour libxml2 dans DSA 2978 corrigeant
https://security-tracker.debian.org/tracker/CVE-2014-0191;>CVE-2014-0191 était incomplète.
Cela entrainait libxml2 à encore télécharger des entités externes
indépendamment du fait que la substitution ou la validation d'entité est
activée ou non.

En complément, cette mise à jour corrige une régression introduite dans
DSA 3057 par le correctif de
https://security-tracker.debian.org/tracker/CVE-2014-3660;>CVE-2014-3660.
Cela entrainait libxml2 à ne pas analyser une entité quand elle est d'abord
utilisée dans une entité référencée à partir d'une valeur d'attribut.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans
libxml2 version 2.7.8.dfsg-2+squeeze11


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-151.data"
# $Id: dla-151.wml,v 1.1 2017/08/12 13:42:48 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Un système de fichier cassé (ou contrefait de façon malveillante)
pourrait déclencher un dépassement de tampon dans e2fsprogs.

Cette mise à jour a été préparée par Nguyen Cong.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans
e2fsprogs version 1.41.12-4+deb6u1


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-153.data"
# $Id: dla-153.wml,v 1.1 2017/08/12 13:42:48 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

nss 3.12.8-1+squeeze11 corrige deux problèmes de sécurité :



https://security-tracker.debian.org/tracker/CVE-2011-3389;>CVE-2011-3389

Les connexions SSL 3.0 et TLS 1.0 étaient vulnérables à certaines
attaques à texte clair choisi (« chosen-plaintext »") qui permettaient à
un attaquant de type « homme du milieu » d'obtenir des en-têtes HTTP en
texte clair dans une session HTTPS. Ce problème est connu sous le nom
d'attaque BEAST.

https://security-tracker.debian.org/tracker/CVE-2014-1569;>CVE-2014-1569

Possible fuite d'informations avec un décodage trop permissif de
longueurs d'ASN.1 DER.



Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans nss
version 3.12.8-1+squeeze11


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-154.data"
# $Id: dla-154.wml,v 1.1 2017/08/12 13:42:48 jipege1-guest Exp $

Re: [RFR] wml://security/2015/dla-15{5,6,7,8,9}.wml​

2017-08-12 Par sujet Francois Meyer 

Le 12/08/2017 à 14:58, jean-pierre giraud a écrit :

Bonjour,
Voici 5 traductions de dla
155 inspiré de dsa-3170 et 3128
156 de 3171
157 de 3147
158 de 3176
159 de 3172
Merci d'avance pour vos relectures.
Amicalement,
jipege


bonjour

une erreur dans dla-155 ligne 43 :

La fonctionnalité espfix est désactivé à tort ...

(il manque l'accord du participe.)

Rien trouvé ailleurs

Amicalement

F.Meyer

[RFR2] wml://security/2016/dla-14{0,1,2,3,5}.wml

2017-08-12 Par sujet JP Guillonneau 
Bonjour,

le vendredi 11 août 19:08, jean-pierre giraud a écrit :

>Quelques suggestions.
Merci, intégrées.
D’autres commentaires ?

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été corrigées dans rpm :



https://security-tracker.debian.org/tracker/CVE-2014-8118;>CVE-2014-8118

Correction d’un dépassement d’entier permettant à des attaquants distants
d’exécuter du code arbitraire.

https://security-tracker.debian.org/tracker/CVE-2013-6435;>CVE-2013-6435

Empêchement pour des attaquants distants d’exécuter du code arbitraire à
l’aide de fichiers RPM contrefaits.

https://security-tracker.debian.org/tracker/CVE-2012-0815;>CVE-2012-0815

Correction d’un déni de service et d’une exécution possible de code à
l’aide d’une valeur négative pour l’emplacement de zone dans des fichiers RPM
contrefaits.

https://security-tracker.debian.org/tracker/CVE-2012-0060;>CVE-2012-0060
et https://security-tracker.debian.org/tracker/CVE-2012-0061;>CVE-2012-0061

Empêchement d’un déni de service (plantage) et éventuellement de
l’exécution de code arbitraire à l’aide d’une balise de zone non valable dans
des fichiers RPM.



Nous vous recommandons de mettre à jour vos paquets rpm.
Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 4.8.1-6+squeeze2 de rpm.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-140.data"
# $Id : dla-140.wml,v 1.3 2016/04/08 20:32:23 djpig Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Une vulnérabilité a été corrigée dans la bibliothèque libksba de prise en
charge de X.509 et de CMS :



https://security-tracker.debian.org/tracker/CVE-2014-9087;>CVE-2014-9087

Correction d’un dépassement de tampon dans ksba_oid_to_str, signalé par
Hanno Böck.



Pour Debian 6 Squeeze, ce problème a été corrigé dans la
version 1.0.7-2+deb6u1 de libksba.
Nous vous recommandons de mettre à jour vos paquets libksba.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-141.data"
# $Id: dla-141.wml,v 1.2 2017/08/12 12:05:55 jptha-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs vulnérabilités ont été découvertes dans Privoxy, un serveur
mandataire (Proxy) HTTP qui améliore la confidentialité :



https://security-tracker.debian.org/tracker/CVE-2015-1031;>CVE-2015-1031,
CID66394 :

unmap() : empêchement d’une utilisation de mémoire après libération si le
mappage consiste en un seul item.

https://security-tracker.debian.org/tracker/CVE-2015-1031;>CVE-2015-1031,
CID66376 et CID66391 :

pcrs_execute() : régler systématiquement *result à NULL en cas d’erreurs.
Cela devrait rendre une utilisation de mémoire après libération dans
l’appelant moins probable.

https://security-tracker.debian.org/tracker/CVE-2015-1381;>CVE-2015-1381:

Correction de plusieurs erreurs de segmentation et fuites de mémoire dans
le code de pcrs.

https://security-tracker.debian.org/tracker/CVE-2015-1382;>CVE-2015-1382:

Correction de lecture non valable pour empêcher des plantages potentiels.



Nous vous recommandons de mettre à jour vos paquets privoxy.
Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 3.0.16-1+deb6u1 de privoxy.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-142.data"
# $Id: dla-142.wml,v 1.2 2017/08/12 12:05:55 jptha-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs problèmes de sécurité ont été découverts dans Django :
https://www.djangoproject.com/weblog/2015/jan/13/security/;>
https://www.djangoproject.com/weblog/2015/jan/13/security/

Pour Debian 6 Squeeze, ils ont été corrigés dans la
version 1.2.3-3+squeeze12 de python-django. Voici ce que les développeurs
amont ont à dire à propos de ces problèmes :



https://security-tracker.debian.org/tracker/CVE-2015-0219;>CVE-2015-0219

– Usurpation d’en-tête WSGI à l’aide d’une combinaison de tirets bas et
de tirets

Lorsque des en-têtes HTTP sont placés dans la fonction environ de
WSGI, ils sont standardisés en les convertissant en majuscules, en
convertissant tous les tirets en tirets bas et en ajoutant le préfixe HTTP_.
Par exemple, un en-tête X-Auth-User devient HTTP_X_AUTH_USER dans la fonction
environ WSGI (et par conséquent aussi dans le dictionnaire
request.META de Django).

Malheureusement, cela signifie que la fonction environ de WSGI ne
faisait pas de distinction entre les en-têtes contenant des tirets et ceux
contenant des tirets bas : X-Auth-User et X-Auth_User deviennent tous les deux

[RFR2] wml://security/2015/dla-13{3,5,6,7,8,9}.wml

2017-08-12 Par sujet JP Guillonneau 
Bonjour,

le vendredi 11 août 15:19, jean-pierre giraud a écrit :

>Suggestion.
Merci,intégrée.
D’autres commentaires ?

Amicalement.

--
Jean-Paul

Re: [RFR] wml://security/2015/dla-16{0,1,2,3,4}.wml

2017-08-12 Par sujet JP Guillonneau 
Bonjour,

suggestions pour dla-16{0-9}.wml.

Amicalement.

--
Jean-Paul
--- 002d.dla-160.wml	2017-08-12 12:44:43.463519400 +0200
+++ -	2017-08-12 12:49:30.520423766 +0200
@@ -7,8 +7,8 @@
 
 https://security-tracker.debian.org/tracker/CVE-2014-0106;>CVE-2014-0106
 
-Todd C. Miller a signalé que si l'option env_reset est activée dans le
-fichier sudoers, l'option env_delete n'est pas correctement appliqué aux
+Todd C. Miller a signalé que si l'option env_reset est désactivée dans le
+fichier sudoers, l'option env_delete n'est pas correctement appliquée aux
 variables d'environnement indiquées en ligne de commande. Un utilisateur
 malveillant avec des droits sudo peut être capable d'exécuter des commandes
 avec des droits plus élevés en manipulant l'environnement d'une commande
@@ -19,9 +19,9 @@
 Jakub Wilk a signalé que sudo conserve la variable TZ de l'environnement
 de l'utilisateur sans aucune vérification. Un utilisateur ayant accès à
 sudo peut tirer parti de cela pour exploiter des bogues dans les fonctions
-de la bibliothèque C qui analysent la variable d'environnement TZ ou ouvrir
+de la bibliothèque C qui analysent la variable d'environnement TZ ou ouvrir
 des fichiers qu'autrement l'utilisateur n'aurait pas pu ouvrir. Ce dernier
-défaut pourrait éventuellement provoquer des modifications dans le
+pourrait éventuellement provoquer des modifications dans le
 comportement du système lors de la lecture de certains fichiers de
 périphérique ou provoquer le blocage du programme exécuté avec sudo.
 
@@ -31,7 +31,7 @@
 dans la version 1.7.4p4-2.squeeze.5.
 
 Pour la distribution stable (Wheezy), ils ont été corrigés dans la
-version 1.8.5p2-1+nmu2.
+version 1.8.5p2-1+nmu2.
 
 Nous vous recommandons de mettre à jour vos paquets sudo.
 
--- 0033.dla-163.wml	2017-08-12 12:53:11.165378468 +0200
+++ -	2017-08-12 12:54:34.033870339 +0200
@@ -6,7 +6,7 @@
 d'une erreur sur la partie de l'opérateur de zone ou d'une interférence
 avec le trafic réseau par un attaquant. Ce problème affecte les
 configurations avec les directives « dnssec-validation auto; » (comme
-implémenté dans la configuration par défaut de Debian) ou
+implémentées dans la configuration par défaut de Debian) ou
 « dnssec-lookaside auto; ».
 
 Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans bind9

[RFR] wml://security/2015/dla-16{0,1,2,3,4}.wml​

2017-08-12 Par sujet jean-pierre giraud 
Bonjour,
Voici 5 traductions de dla
161 inspiré de dsa-3173
162 de 3166
163 de 3162
164 de 3178

Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Cette mise à jour corrige les CVE décrites ci-dessous.



https://security-tracker.debian.org/tracker/CVE-2014-0106;>CVE-2014-0106

Todd C. Miller a signalé que si l'option env_reset est activée dans le
fichier sudoers, l'option env_delete n'est pas correctement appliqué aux
variables d'environnement indiquées en ligne de commande. Un utilisateur
malveillant avec des droits sudo peut être capable d'exécuter des commandes
avec des droits plus élevés en manipulant l'environnement d'une commande
que l'utilisateur est légitimement autorisé à exécuter.

https://security-tracker.debian.org/tracker/CVE-2014-9680;>CVE-2014-9680

Jakub Wilk a signalé que sudo conserve la variable TZ de l'environnement
de l'utilisateur sans aucune vérification. Un utilisateur ayant accès à
sudo peut tirer parti de cela pour exploiter des bogues dans les fonctions
de la bibliothèque C qui analysent la variable d'environnement TZ ou ouvrir
des fichiers qu'autrement l'utilisateur n'aurait pas pu ouvrir. Ce dernier
défaut pourrait éventuellement provoquer des modifications dans le
comportement du système lors de la lecture de certains fichiers de
périphérique ou provoquer le blocage du programme exécuté avec sudo.



Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés
dans la version 1.7.4p4-2.squeeze.5.

Pour la distribution stable (Wheezy), ils ont été corrigés dans la
version 1.8.5p2-1+nmu2.

Nous vous recommandons de mettre à jour vos paquets sudo.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-160.data"
# $Id: dla-160.wml,v 1.1 2017/08/12 10:10:42 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Libgtk2-perl, une interface Perl pour la série 2.x de la bibliothèque de
la boîte à outils de Gimp, libérait incorrectement la mémoire que GTK+
conservait encore et à laquelle il pourrait accéder plus tard, avec pour
conséquence un déni de service (plantage d'application) ou, éventuellement,
l'exécution de code arbitraire.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans
libgtk2-perl version 2:1.222-1+deb6u1


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-161.data"
# $Id: dla-161.wml,v 1.1 2017/08/12 10:10:42 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Jose Duart de l'équipe de sécurité de Google a découvert un dépassement
de tampon dans e2fsprogs, un ensemble d'utilitaires des systèmes de
fichiers ext2, ext3 et ext4. Ce problème peut éventuellement permettre
l'exécution de code arbitraire si un périphérique malveillant est branché,
si le système est configuré pour le monter automatiquement, et si le
processus de montage choisit d'exécuter fsck sur le système de fichiers
malveillant du périphérique.



https://security-tracker.debian.org/tracker/CVE-2015-1572;>CVE-2015-1572

Correction incomplète pour https://security-tracker.debian.org/tracker/CVE-2015-0247;>CVE-2015-0247.



Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans
e2fsprogs version 1.41.12-4+deb6u2


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-162.data"
# $Id: dla-162.wml,v 1.1 2017/08/12 10:10:42 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Jan-Piet Mens a découvert que le serveur DNS BIND pourrait planter lors
du traitement d'un recouvrement de clés DNSSEC incorrect, soit à cause
d'une erreur sur la partie de l'opérateur de zone ou d'une interférence
avec le trafic réseau par un attaquant. Ce problème affecte les
configurations avec les directives « dnssec-validation auto; » (comme
implémenté dans la configuration par défaut de Debian) ou
« dnssec-lookaside auto; ».

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans bind9
version 1:9.7.3.dfsg-1~squeeze14


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-163.data"
# $Id: dla-163.wml,v 1.1 2017/08/12 10:10:42 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Jakub Wilk a découvert qu'unace, un utilitaire pour extraire, tester et
visualiser les archives .ace, contenait un dépassement d'entier menant à un
dépassement de tampon. Si un utilisateur ou un système automatisé était
piégé dans le traitement d'une archive ace contrefaite pour l'occasion, un
attaquant pourrait provoquer un déni de service

[RFR] wml://devel/join/{…}.wml

2017-08-12 Par sujet JP Guillonneau 
Bonjour,

Quatre fichiers ont été modifiés par l’emploi de « their » :
https://www.debian.org/devel/website/stats/fr

Ces fichiers me semble ne pas devoir être modifié en français :

their → Belonging to someone of unspecified gender.

https://en.wikipedia.org/wiki/They

Merci d’avance pour vos remarques.

Amicalement.

--
Jean-Paul

Re: [RFR2] wml://security/2017/dsa-3930.wml

2017-08-12 Par sujet Alban Vidal 
Bonjour,


On 08/11/2017 05:55 PM, jean-pierre giraud wrote:
> Corrigé. Merci d'avance pour vos nouvelles relectures.

Très très léger détail.

Cordialement,

Alban
--- dsa-3930.wml2017-08-12 09:43:09.969744508 +0200
+++ av-dsa-3930.wml 2017-08-12 09:45:20.441627265 +0200
@@ -9,7 +9,7 @@
 par plantage de l'application, ou éventuellement d'exécuter du code
 arbitraire.
 
-Tous ces problèmes sont couverts par cette seule DSA, mais il est faut
+Tous ces problèmes sont couverts par cette seule DSA, mais il faut
 noter que tous les problèmes n'affectent pas toutes les versions de Debian 
:

[LCFC] po-debconf://apt-listchanges/fr.po

2017-08-12 Par sujet Alban Vidal 
Bonjour,


On 08/09/2017 07:02 PM, Alban Vidal wrote:
> Merci Jean-Paul,
>
> Suggestions appliqués. J'étais persuadé qu'un en-tête était féminin.
>
> Merci d'avance pour les nouvelles relectures.

Pas de modification depuis RFR2, passage en LCFC.

Cordialement,

Alban

Re: [RFR] wml://security/2017/dsa-393{2,3,4,5,6}.wml

2017-08-12 Par sujet JP Guillonneau 
Bonjour,

suggestions.

Amicalement.

--
Jean-Paul
--- 0019.dsa-3936.wml	2017-08-12 08:47:33.889649705 +0200
+++ -	2017-08-12 08:48:09.024168958 +0200
@@ -21,7 +21,7 @@
 La fonction lo_put() ignorait les ACL.
 
 Pour des descriptions plus détaillées des vulnérabilités de sécurité,
-veuillez consulterhttps://www.postgresql.org/about/news/1772/;>https://www.postgresql.org/about/news/1772/
+veuillez consulter https://www.postgresql.org/about/news/1772/;>https://www.postgresql.org/about/news/1772/
 
 
 
--- 0015.dsa-3933.wml	2017-08-12 08:41:47.387495527 +0200
+++ -	2017-08-12 08:43:53.493071784 +0200
@@ -2,7 +2,7 @@
 Mise à jour de sécurité
 
 Deux vulnérabilités ont été découvertes dans la bibliothèque de
-communication de PJSIP/PJProject, qui peuvent avoir pour conséquence une
+communication de PJSIP/PJProject, qui peuvent avoir pour conséquence un
 déni de service.
 
 Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
--- 0013.dsa-3934.wml	2017-08-12 08:39:36.366396669 +0200
+++ -	2017-08-12 08:41:31.059428354 +0200
@@ -2,7 +2,7 @@
 Mise à jour de sécurité
 
 Joern Schneeweisz a découvert que git, un système de gestion de versions
-distribué, ne gérait pas correctement les URL svn+ssh:// construites de
+distribué, ne gérait pas correctement les URL ssh:// construites de
 façon malveillante. Cela permettait à un attaquant d'exécuter une commande
 arbitraire de l'interpréteur, par exemple grâce à des sous-modules de git.