Problème page Debian Package

2017-08-17 Par sujet Z. Pascal 
Bonjour, 

même si ce ce n'est pas à proprement parler "un problème", je
souhaiterai tout de même questionner un membre de l'équipe, et s'il
pourrait me dire à quoi correspond le security (en rouge entre crochet )
de la page de BIND9 des Packages Debian jessie-oldstable s'il vous
plaît, (elle est visible ici https://packages.debian.org/fr/jessie/bind9
). 

Je ne sais quoi dire mais vous pouvez mettre de côté cet email s'il faut
(enfin ma demande, je la fais car je n'ai pas trouvé la signification de
cet élément sur le site et ne sait à quoi m'en tenir concernant cet
avertissement qui ne figure pas sur plusieurs autres pages de BIND9
correspondant à d'autres distributions que jessie-oldstable. 

Merci beaucoup de votre temps rien qu'à la lecture de cet email, Pascal.

[RFR] wml://security/2017/dsa-3945.wml

2017-08-17 Par sujet jean-pierre giraud 
Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction. C'est presque entièrement la même que dsa-3927
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
pourraient conduire à une augmentation de droits, un déni de service ou des
fuites d'informations.



https://security-tracker.debian.org/tracker/CVE-2014-9940;>CVE-2014-9940

Un défaut d'utilisation de mémoire après libération dans le pilote du
régulateur de courant et de tension pourrait permettre à un utilisateur
local de provoquer un déni de service ou éventuellement une augmentation
de droit.

https://security-tracker.debian.org/tracker/CVE-2017-7346;>CVE-2017-7346

Li Qiang a découvert que le pilote DRM pour les processeurs graphiques
virtuels de VMware ne vérifiait pas correctement les valeurs, contrôlées
par l'utilisateur, des limites supérieures dans les fonctions
vmw_surface_define_ioctl(). Un utilisateur local peut tirer avantage de ce
défaut pour provoquer un déni de service.

https://security-tracker.debian.org/tracker/CVE-2017-7482;>CVE-2017-7482

Shi Lei a découvert que le code de traitement de tickets RxRPC de
Kerberos 5 ne vérifiait pas correctement les métadonnées, menant à la
divulgation d'informations, à un déni de service ou éventuellement à
l'exécution de code arbitraire.

https://security-tracker.debian.org/tracker/CVE-2017-7533;>CVE-2017-7533

Fan Wu et Shixiong Zhao ont découvert une situation de compétition entre
les événements d'inotify et les opérations de renommage de VFS, permettant à
un attaquant local non privilégié de provoquer un déni de service ou une
augmentation de droits.

https://security-tracker.debian.org/tracker/CVE-2017-7541;>CVE-2017-7541

Un défaut de dépassement de tampon dans le pilote de réseau sans fil
local IEEE802.11n PCIe SoftMAC de Broadcom pourrait permettre à un
utilisateur local de provoquer une corruption de la mémoire du noyau, menant
à un déni de service ou éventuellement à une augmentation de droits.

https://security-tracker.debian.org/tracker/CVE-2017-7542;>CVE-2017-7542

Une vulnérabilité de dépassement d'entier dans la fonction
ip6_find_1stfragopt() a été découverte permettant à un attaquant local avec
les droits pour l'ouverture de sockets bruts de provoquer un déni de
service.

https://security-tracker.debian.org/tracker/CVE-2017-7889;>CVE-2017-7889

Tommi Rantala et Brad Spengler ont signalé que le sous-système mm
n'applique pas correctement le mécanisme de protection CONFIG_STRICT_DEVMEM,
permettant à un attaquant local doté d'un accès à /dev/mem d'obtenir des
informations sensibles ou éventuellement d'exécuter du code arbitraire.

https://security-tracker.debian.org/tracker/CVE-2017-9605;>CVE-2017-9605

Murray McAllister a découvert que le pilote DRM pour les GPU virtuels de
VMware n'initialisait pas la mémoire correctement, permettant éventuellement
à un attaquant local d'obtenir des informations sensibles de la mémoire non
initialisée du noyau à l'aide d'un appel ioctl contrefait.

https://security-tracker.debian.org/tracker/CVE-2017-10911;>CVE-2017-10911

/ XSA-216

Anthony Perard de Citrix a découvert un défaut de fuite d'informations
dans le traitement des réponses blkif de Xen, permettant à un client
malveillant non privilégié d'obtenir des informations sensibles à partir de
l'hôte ou d'autres clients.

https://security-tracker.debian.org/tracker/CVE-2017-11176;>CVE-2017-11176

La fonction mq_notify() ne règle pas le pointeur « sock » à NULL lors de
son entrée dans la logique de réessai. Un attaquant peut tirer avantage de
ce défaut lors de la fermeture de l'espace utilisateur d'un socket Netlink
pour provoquer un déni de service ou éventuellement d'autres impacts.

https://security-tracker.debian.org/tracker/CVE-2017-1000363;>CVE-2017-1000363

Roee Hay a signalé que le pilote lp ne vérifie pas correctement les
limites des arguments passés, permettant à un attaquant local doté d'un
accès en écriture aux arguments en ligne de commande du noyau d'exécuter du
code arbitraire.

https://security-tracker.debian.org/tracker/CVE-2017-1000365;>CVE-2017-1000365

Les pointeurs argument et environnement ne sont pas correctement pris en
compte par les restrictions de taille imposées aux chaînes d'argument et
d'environnement passées par RLIMIT_STACK/RLIMIT_INFINITY. Un attaquant local
peut tirer avantage de ce défaut en conjonction avec d'autres défauts pour
exécuter du code arbitraire.



Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 3.16.43-2+deb8u3.

Nous vous recommandons de mettre à jour vos paquets linux.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3945.data"
# $Id: dsa-3945.wml,v 1.1

[RFR] po-debconf://isa-support/fr.po 3u

2017-08-17 Par sujet jean-pierre giraud 
Bonjour,
Le 17/08/2017 à 15:58, jean-pierre giraud a écrit :
> Bonjour,
> Le 17/08/2017 à 15:37, Julien Patriarca a écrit :
>> Bonjour,
>> Le paquet isa-support utilise po-debconf mais
>> les écrans
>> debconf ne sont pas encore traduits en français.
Voici une proposition de traduction. Merci d'avance pour vos relectures.
Amicalement,
jipeg

# Translation of isa-support debconf templates to French.
# Copyright (C) 2017 Debian French l10n team 
# This file is distributed under the same license as the isa-support package.
# Jean-Pierre Giraud , 2017.
msgid ""
msgstr ""
"Project-Id-Version: isa-support\n"
"Report-Msgid-Bugs-To: isa-supp...@packages.debian.org\n"
"POT-Creation-Date: 2017-08-15 13:39+0200\n"
"PO-Revision-Date: 2017-08-17 22:49+0200\n"
"Language: fr_FR\n"
"MIME-Version: 1.0\n"
"Content-Type: text/plain; charset=UTF-8\n"
"Content-Transfer-Encoding: 8bit\n"
"Last-Translator: Jean-Pierre Giraud \n"
"Language-Team: French \n"
"X-Generator: Poedit 1.8.11\n"

#. Type: note
#. Description
#: ../templates.in:1001
msgid "Support for & required"
msgstr "La prise en charge de & est requise"

#. Type: note
#. Description
#: ../templates.in:1001
msgid ""
"Alas, your machine doesn't support the & instruction set.  It is needed "
"by software that depends on this dummy package.  Sorry."
msgstr ""
"Hélas, votre machine ne gère pas le jeu d'instructions &. Il est "
"nécessaire au logiciel qui dépend de ce paquet factice."

#. Type: note
#. Description
#: ../templates.in:1001
msgid "Aborting installation."
msgstr "Installation interrompue."

[RFR] md://publicity/bits/2017/debian-mobile-continues-fr.md

2017-08-17 Par sujet jean-pierre giraud 
Bonjour,
Le travail de Debian mobile continue et fait l'objet d'un billet sur le
blogue officiel de Debian "Bits from Debian"
https://bits.debian.org/2017/08/debian-mobile-continues.html
J'ai préparé une traduction que je soumets à vos relectures.
Amicalement,
jipege
Title: Le travail sur Debian pour les mobiles continue
Slug: debian-mobile-continues
Date: 2017-08-17 15:40
Author: W. Martin Borgert
Tags: debian, mobile, debconf17, pocketchip, pyra, zerophone
Status: published
Translator: Jean-Pierre Giraud

Le travail sur Debian pour les appareils mobiles, c'est-à-dire les
téléphones, les tablettes et les ordinateurs de poche se poursuit
Durant la dernière
[DebConf 17](https://debconf17.debconf.org/) à Montréal, Canada, plus de
50 personnes se sont réunies pour réévaluer les perspectives et
les enjeux pour Debian sur les appareils mobiles.

Un certain nombre d'appareils ont été montrés à la DebConf :

* [PocketCHIP](https://getchip.com/pages/pocketchip) : un très petit
   ordinateur de poche avec clavier, WiFi, USB et Bluetooth, fonctionnant
   avec Debian 8 (Jessie) ou 9 (Stretch).
* [Pyra](https://pyra-handheld.com/boards/pages/pyra/) : un ordinateur
   de poche modulaire avec un écran tactile, des commandes de jeu, WiFi,
   un clavier, de multiples ports USB et des emplacements pour carte SD et
   un modem optionel pour soit l'Europe soit les USA. Il est fourni avec
   Debian préinstallé.
* [Samsung Galaxy S Relay 4G](https://en.wikipedia.org/wiki/Samsung_Galaxy_S_Relay_4G) :
   un smartphone Android avec un clavier physique qui peut déjà exécuter
   des parties de l'espace utilisateur de Debian sur le noyau Android.
   La mise à niveau du noyau est Kernel en route.
* [ZeroPhone](https://www.crowdsupply.com/arsenijs/zerophone) : un
   smartphone libre basé sur Raspberry Pi Zero, avec un petit écran
   un clavier de téléphone classique et des commutateurs physiques pour
   le téléphone, le WiFi et le microphone. Il fonctionne avec le système
   d'exploitation Raspbian basé sur Debian.

[![photo des Samsung, Pyra, N900, ZeroPhone, GnuK et PocketCHIP — cliquez pour agrandir](|filename|/images/debian-mobile-continues_small.jpg)](https://annex.debconf.org/debconf-share/debconf17/photos/aigarius/IMG_1262.JPG "photo of Samsung, Pyra, N900, ZeroPhone, GnuK, and PocketCHIP")

La photo (cliquer pour agrandir) montre ces quatre appareils avec un
[Nokia N900](https://en.wikipedia.org/wiki/Nokia_N900), qui a été le
premier smartphone de Nokia basé sur Linux, fonctionnant avec Maemo basé
sur Debian, et un [jeton chiffré Gnuk](https://www.fsij.org/category/gnuk.html)
totalement sans rapport, qui est juste glissé au milieu.

Si vous souhaitez participer, veuillez

* consulter la [page Debian Mobile du wiki](https://wiki.debian.org/Mobile),
* vous abonner à la [liste de diffusion Debian mobile](https://lists.debian.org/debian-mobile/),
* ou rejoindre le canal IRC #debian-mobile sur irc.oftc.net.

[ITT] po-debconf://isa-support/fr.po 3u

2017-08-17 Par sujet jean-pierre giraud 
Bonjour,
Le 17/08/2017 à 15:37, Julien Patriarca a écrit :
> Bonjour,
> 
> Le paquet isa-support utilise po-debconf mais
> les écrans
> debconf ne sont pas encore traduits en français.
> 
> Statistiques du fichier : 3u (u=nombre de chaînes non traduites).
> 
> Merci au volontaire de répondre à ce courriel avec un sujet
> "[ITT] po-debconf://isa-support/fr.po""
Je vais m'en occuper.
Amicalement,
jipege

[BTS#872356] po-debconf://sash/fr.po 3u

2017-08-17 Par sujet Julien Patriarca 
On Thu, Aug 17, 2017 at 03:55:12PM +0200, Julien Patriarca wrote:
> On Thu, Aug 17, 2017 at 03:53:11PM +0200, Julien Patriarca wrote:
> > On Thu, Aug 17, 2017 at 03:51:45PM +0200, Julien Patriarca wrote:
> > > On Thu, Aug 17, 2017 at 03:50:24PM +0200, Julien Patriarca wrote:
> > > > Je refais le fil car une typo dans le titre fait que le robot ne le voit
> > > > pas comme fait.
> > > > Merci de ne pas répondre
> > > 
> > > ITT
> > > 
> > RFR
> 
> LCFC

BTS


signature.asc
Description: PGP signature

[LCFC] po-debconf://sash/fr.po 3u

2017-08-17 Par sujet Julien Patriarca 
On Thu, Aug 17, 2017 at 03:53:11PM +0200, Julien Patriarca wrote:
> On Thu, Aug 17, 2017 at 03:51:45PM +0200, Julien Patriarca wrote:
> > On Thu, Aug 17, 2017 at 03:50:24PM +0200, Julien Patriarca wrote:
> > > Je refais le fil car une typo dans le titre fait que le robot ne le voit
> > > pas comme fait.
> > > Merci de ne pas répondre
> > 
> > ITT
> > 
> RFR

LCFC
# Translation of sash debconf templates to French.
# Copyright (C)2017 Debian French l10n team 

# This file is distributed under the same license as the sash package.
#
# Jean-Pierre Giraud , 2017.
msgid ""
msgstr ""
"Project-Id-Version: sash\n"
"Report-Msgid-Bugs-To: s...@packages.debian.org\n"
"POT-Creation-Date: 2017-07-29 16:31+0200\n"
"PO-Revision-Date: 2017-08-02 17:25+0200\n"
"Language-Team: French \n"
"MIME-Version: 1.0\n"
"Content-Type: text/plain; charset=UTF-8\n"
"Content-Transfer-Encoding: 8bit\n"
"X-Generator: Poedit 1.8.11\n"
"Last-Translator: Jean-Pierre Giraud \n"
"Plural-Forms: nplurals=2; plural=(n > 1);\n"
"Language: fr_FR\n"

#. Type: error
#. Description
#: ../templates:1001
msgid "sashroot user detected"
msgstr "Détection d'un utilisateur sashroot"

#. Type: error
#. Description
#: ../templates:1001
msgid ""
"Previous versions of sash offered to create a root user with shell set to /"
"bin/sash.  This system has such a user."
msgstr ""
"Les versions précédentes de sash proposaient de créer un utilisateur root "
"dont le shell était réglé sur /bin/sash. Ce système possède cet utilisateur."

#. Type: error
#. Description
#: ../templates:1001
msgid ""
"This can unfortunately not be automatically removed together with the "
"package, so you need to manually delete the sashroot user."
msgstr ""
"Malheureusement, il ne peut pas être supprimé en même temps que le paquet. "
"Aussi, vous devez supprimer vous-même l'utilisateur sashroot."


signature.asc
Description: PGP signature

[RFR] po-debconf://sash/fr.po 3u

2017-08-17 Par sujet Julien Patriarca 
On Thu, Aug 17, 2017 at 03:51:45PM +0200, Julien Patriarca wrote:
> On Thu, Aug 17, 2017 at 03:50:24PM +0200, Julien Patriarca wrote:
> > Je refais le fil car une typo dans le titre fait que le robot ne le voit
> > pas comme fait.
> > Merci de ne pas répondre
> 
> ITT
> 
RFR
# Translation of sash debconf templates to French.
# Copyright (C)2014 Debian French l10n team 

# This file is distributed under the same license as the sash package.
#
# Jean-Pierre Giraud , 2017.
msgid ""
msgstr ""
"Project-Id-Version: sash\n"
"Report-Msgid-Bugs-To: s...@packages.debian.org\n"
"POT-Creation-Date: 2017-07-29 16:31+0200\n"
"PO-Revision-Date: 2017-07-29 17:04+0200\n"
"Language-Team: French \n"
"MIME-Version: 1.0\n"
"Content-Type: text/plain; charset=UTF-8\n"
"Content-Transfer-Encoding: 8bit\n"
"X-Generator: Poedit 1.8.11\n"
"Last-Translator: Jean-Pierre Giraud \n"
"Plural-Forms: nplurals=2; plural=(n > 1);\n"
"Language: fr_FR\n"

#. Type: error
#. Description
#: ../templates:1001
msgid "sashroot user detected"
msgstr "un utilisateur sashroot est détecté"

#. Type: error
#. Description
#: ../templates:1001
msgid ""
"Previous versions of sash offered to create a root user with shell set to /"
"bin/sash.  This system has such a user."
msgstr ""
"Les versions précédentes de sash proposaient de créer un utilisateur root "
"dont le shell était réglé sur /bin/sash. Ce système possède cet utilisateur."

#. Type: error
#. Description
#: ../templates:1001
msgid ""
"This can unfortunately not be automatically removed together with the "
"package, so you need to manually delete the sashroot user."
msgstr ""
"Malheureusement, il ne peut pas être supprimé en même temps que le paquet. "
"Aussi, vous devez supprimer vous-même l'utilisateur sashroot."


signature.asc
Description: PGP signature

[ITT] po-debconf://sash/fr.po 3u

2017-08-17 Par sujet Julien Patriarca 
On Thu, Aug 17, 2017 at 03:50:24PM +0200, Julien Patriarca wrote:
> Je refais le fil car une typo dans le titre fait que le robot ne le voit
> pas comme fait.
> Merci de ne pas répondre

ITT





signature.asc
Description: PGP signature

[TAF] po-debconf://sash/fr.po 3u

2017-08-17 Par sujet Julien Patriarca 
Je refais le fil car une typo dans le titre fait que le robot ne le voit
pas comme fait.
Merci de ne pas répondre


sash_3.8-4_templates.pot.gz
Description: application/gzip


signature.asc
Description: PGP signature

[LCFC2] wml://security/2015/dla-22{2,3,4,5,6,7,8,9}.wml

2017-08-17 Par sujet jean-pierre giraud 
Bonjour,
Le 16/08/2017 à 18:15, jean-pierre giraud a écrit :
>> Le 09/08/2017 à 19:59, Baptiste Jammet a écrit :
>>> Bonjour, 
>>> Dixit jean-pierre giraud, le 09/08/2017 :
 Suggestions reprises. Merci pour vos nouvelles relectures.
>>> dla-228 :
>>> s/prochainement corrigés/corrigés prochainement/
>>> pour être homogène avec le reste ?
>>> Baptiste
Détails après une relecture d'Alban. Merci pour vos nouvelles relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS




https://security-tracker.debian.org/tracker/CVE-2012-5783;>CVE-2012-5783
et https://security-tracker.debian.org/tracker/CVE-2012-6153;>CVE-2012-6153
 Apache Commons HttpClient 3.1 ne vérifiait pas que le nom d'hôte du
 serveur correspondait à un nom de domaine dans les champs Common Name (CN)
 ou subjectAltName du sujet du certificat X.509. Cela permet à des
 attaquants de « homme du milieu » d'usurper l'identité de serveurs SSL à
 l'aide d'un certificat valable arbitraire. Merci à Alberto Fernandez
 Martinez pour le correctif.

https://security-tracker.debian.org/tracker/CVE-2014-3577;>CVE-2014-3577

 Il a été découvert que le correctif pour https://security-tracker.debian.org/tracker/CVE-2012-6153;>CVE-2012-6153
 était incomplet : le code ajouté pour vérifier que le nom d'hôte du serveur
 correspond au nom de domaine dans le champ Common Name (CN) du sujet
 dans les certificats X.509 était fautif. Un attaquant de type « homme du
 milieu » pourrait utiliser ce défaut pour usurper l'identité d'un serveur
 SSL avec un certificat X.509 contrefait. Le correctif pour
 https://security-tracker.debian.org/tracker/CVE-2012-6153;>CVE-2012-6153
 visait à corriger la correction incomplète pour https://security-tracker.debian.org/tracker/CVE-2012-5783;>CVE-2012-5783.
 Ce problème est maintenant complètement résolu en appliquant ce correctif
 et celui pour les précédents CVE.



Cet envoi a été préparé par Markus Koschany.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-222.data"
# $Id: dla-222.wml,v 1.2 2017/08/17 13:26:40 jipege1-guest Exp $

[TAF] po-debconf://isa-support/fr.po 3u

2017-08-17 Par sujet Julien Patriarca 
Bonjour,

Le paquet isa-support utilise po-debconf mais
les écrans
debconf ne sont pas encore traduits en français.

Statistiques du fichier : 3u (u=nombre de chaînes non traduites).

Merci au volontaire de répondre à ce courriel avec un sujet
"[ITT] po-debconf://isa-support/fr.po""

Comment procéder pour traduire :

-utiliser le fichier templates.pot attaché

-le mettre dans un répertoire chez vous, par exemple
~/traducs/po-debconf/TODO/isa-support

-le copier sous le nom fr.po (IMPORTANT, cela permet de garder
l'original)

-l'éditer et traduire, de préférence avec un outil dédié genre kbabel
ou poedit (ou emacs et son po-mode s'il ne vous enquiquine pas trop)

-ne pas oublier de remplir les champs :


Project-Id-Version: --> mettre ici le nom du paquet et sa version au
moment de la traduc est une bonne idée
Last-Translator: --> le plus souvent votre outil mettra tout seul
VOTRE adresse
Language-Team: --> mettez "French
\n"


-envoyer le fichier ici pour relecture avec le sujet "[RFR]
po-debconf://isa-support/fr.po

-une fois "suffisamment" de relectures envoyées et la synthèse faite,
postez un "[LCFC] po-debconf://
isa-support/fr.po" de préférence en
"réponse" à votre RFR

-envoyez alors un rapport de bogue à l'auteur du paquet. Ci-dessous
mon script "bug-trad" à moi, à utiliser "bug-trad
isa-support"

#!/bin/sh
reportbug --attach=fr.po
--include="/home/bubulle/src/debian/translation/po/patch-translate.txt"
--offline -s "$1: French debconf templates translation"
--severity=wishlist --tag=patch --tag=l10n --no-config-files
--package-version="N/A" $1



isa-support_2_templates.pot.gz
Description: application/gzip


signature.asc
Description: PGP signature

Re: [RFR2] wml://security/2016/dla-14{0,1,2,3,5}.wml

2017-08-17 Par sujet Baptiste Jammet 

Bonjour,

Le 17/08/2017 11:19, jean-pierre giraud a écrit :

Le 17/08/2017 à 10:29, JP Guillonneau a écrit :

le lundi 14 août 18:47, Baptiste Jammet a écrit :



URL au féminin ?



http://www.gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=26515499
http://jargonf.org/wiki/URL


Mais https://fr.wikipedia.org/wiki/URL
(ce n'est pas un argument d'autorité…)

Je suis plutôt prêt à suivre la fiche de l'oqlf et essayer de m'en 
tenir

au masculin, voire de corriger à l'occasion les occurrences féminines,
même si je comprends parfaitement le choix du féminin (url = adresse) 
et

même des arguments d'euphonisme : une url sonnerait mieux qu'un url.


Il me semble que le féminin est utilsé majoritairement (voire 
exclusivement) sur le site web et dans nos traductions.

C'est la raison de ma préférence (rester homogène).
(Ou alors on passe tout au masculin, mais c'est pas moi qui m'y colle !)

Baptiste

Re: [RFR2] wml://security/2016/dla-14{0,1,2,3,5}.wml

2017-08-17 Par sujet jean-pierre giraud 
Le 17/08/2017 à 10:29, JP Guillonneau a écrit :
> Bonjour,
> 
> le lundi 14 août 18:47, Baptiste Jammet a écrit :
> 
>> URL au féminin ?
> 
> http://www.gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=26515499
> http://jargonf.org/wiki/URL
> 
> D’autres avis ?
> 
> Amicalement.
> 
> --
> Jean-Paul
> 
Je suis plutôt prêt à suivre la fiche de l'oqlf et essayer de m'en tenir
au masculin, voire de corriger à l'occasion les occurrences féminines,
même si je comprends parfaitement le choix du féminin (url = adresse) et
même des arguments d'euphonisme : une url sonnerait mieux qu'un url.
jipege

Re: [RFR2] wml://security/2016/dla-14{0,1,2,3,5}.wml

2017-08-17 Par sujet JP Guillonneau 
Bonjour,

le lundi 14 août 18:47, Baptiste Jammet a écrit :

>URL au féminin ?

http://www.gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=26515499
http://jargonf.org/wiki/URL

D’autres avis ?

Amicalement.

--
Jean-Paul

[RFR] wml://security/2017/dsa-394{3,4}.wml

2017-08-17 Par sujet jean-pierre giraud 
Bonjour,
deux nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Plusieurs problèmes ont été découverts dans le serveur de base de données
MariaDB. Ces vulnérabilités sont corrigées en mettant MariaDB à niveau vers
la nouvelle version amont 10.0.32. Veuillez lire les notes de publication de
MariaDB 10.0 pour de plus amples détails :


https://mariadb.com/kb/en/mariadb/mariadb-10031-release-notes/;>\
https://mariadb.com/kb/en/mariadb/mariadb-10031-release-notes/
https://mariadb.com/kb/en/mariadb/mariadb-10032-release-notes/;>\
https://mariadb.com/kb/en/mariadb/mariadb-10032-release-notes/


Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 10.0.32-0+deb8u1.

Nous vous recommandons de mettre à jour vos paquets mariadb-10.0.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3944.data"
# $Id: dsa-3944.wml,v 1.1 2017/08/17 07:57:59 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Gajim, un client XMPP/Jabber basé sur GTK+, met en œuvre de façon
inconditionnelle l'extension « XEP-0146: Remote Controlling Clients »
permettant à un serveur XMPP malveillant de déclencher des commandes pour
divulguer des conversations privées provenant de sessions chiffrées. Avec
cette mise à jour, la prise en charge de XEP-0146 a été désactivée par
défaut et rendue optionnelle à travers l'option remote_commands.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans
la version 0.16-1+deb8u2.

Pour la distribution stable (Stretch), ce problème a été corrigé avant
publication initiale.

Nous vous recommandons de mettre à jour vos paquets gajim.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3943.data"
# $Id: dsa-3943.wml,v 1.1 2017/08/17 07:57:59 jipege1-guest Exp $

[LCFC] wml://security/2015/dla-13{3,5,6,7,8,9}.wml

2017-08-17 Par sujet JP Guillonneau 
Bonjour,

dernière chance de commentaire.


Amicalement.

--
Jean-Paul

[LCFC2] wml://security/2016/dla-44{0,1,2,3,4,5}.wml

2017-08-17 Par sujet JP Guillonneau 
Bonjour,

le mercredi 16 août 17:15, Alban Vidal a écrit :

>Suggestions.
Merci, intégrées.
D’autres commentaires ?

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS



https://security-tracker.debian.org/tracker/CVE-2013-6441;>CVE-2013-6441

Le script de modèle lxc-sshd avait l’habitude de se monter lui-même comme
/sbin/init dans le conteneur en utilisant un bind-mount modifiable.

Cette mise à jour résout le problème en utilisant un bind-mount
uniquement lisible, empêchant toute forme de dommage accidentel éventuel.


https://security-tracker.debian.org/tracker/CVE-2015-1335;>CVE-2015-1335

Lors du démarrage du conteneur, lxc règle l’arbre du système de fichiers
initial du conteneur en créant beaucoup de montages, en se guidant sur le
fichier de configuration.

La configuration du conteneur est entre les mains de l’administrateur ou de
l’utilisateur sur l’hôte, aussi nous n’essayons pas de protéger contre de
mauvaises entrées. Cependant, puisque la cible de montage est dans le
conteneur, il est possible que l’administrateur du conteneur puisse
rediriger le montage avec des liens symboliques. Cela pourrait contourner le
propre démarrage du conteneur (c'est-à-dire, le confinement d’un conteneur de
l’administrateur par la politique restrictive d’AppArmor, en redirigeant
l’écriture requise vers /proc/self/attr/current), ou contourner la politique
d’AppArmor (basée sur les chemins) en redirigeant, par exemple, /proc vers
/mnt dans le conteneur.

Cette mise à jour implémente une fonction safe_mount() empêchant lxc de
réaliser des montages sur des liens symboliques.




# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-442.data"
# $Id: dla-442.wml,v 1.3 2017/08/17 07:59:07 jptha-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS




https://security-tracker.debian.org/tracker/CVE-2015-2305;>CVE-2015-2305

Un dépassement d’entier dans l’implémentation de regcomp dans la
bibliothèque BSD d’expressions rationnelles d’Henry Spencer (c'est-à-dire,
rxspencer) version alpha3.8.g5 sur les plateformes 32 bits, telle qu’utilisée
dans NetBSD jusqu’à la version 6.1.5 et d’autres produits, pourrait permettre,
à des attaquants en fonction du contexte d’exécuter du code arbitraire à
l'aide d'une longue expression rationnelle, conduisant à un dépassement de
tas.

https://security-tracker.debian.org/tracker/CVE-2015-2348;>CVE-2015-2348
L’implémentation de move_uploaded_file dans ext/standard/basic_fonctions.c
de PHP dans les versions avant 5.4.39, 5.5.x avant 5.5.23 et 5.6.x avant 5.6.7, tronque
un nom de chemin si un caractère \x00 est rencontré. Cela permet à des
attaquants distants de contourner les restrictions voulues d’extension et de
créer des fichiers avec des noms inattendus à l'aide d'un second argument
contrefait.

Note : cette vulnérabilité existe à cause d’un correctif incomplet
pour https://security-tracker.debian.org/tracker/CVE-2006-7243;>CVE-2006-7243.
CVE-2016-tmp, Bogue n° 71039
Fonctions d’exécution ignorant la longueur mais recherchant une
terminaison NULL

CVE-2016-tmp, Bogue n° 71089
Absence de vérification de double occurrence de zend_extension

CVE-2016-tmp, Bogue n° 71201
Erreur de segmentation pour round() dans les constructions 64 bits

CVE-2016-tmp, Bogue n° 71459
Dépassement d’entier dans iptcembed()

CVE-2016-tmp, Bogue n° 71354
Corruption de tas dans l’analyseur d'archives tar/zip/phar

CVE-2016-tmp, Bogue n° 71391
Déréférence de pointeur NULL dans phar_tar_setupmetadata()

CVE-2016-tmp, Bogue n° 70979
Plantage lors de requête SOAP incorrecte




# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-444.data"
# $Id: dla-444.wml,v 1.3 2017/08/17 07:59:08 jptha-guest Exp $