Problème page Debian Package
Bonjour, même si ce ce n'est pas à proprement parler "un problème", je souhaiterai tout de même questionner un membre de l'équipe, et s'il pourrait me dire à quoi correspond le security (en rouge entre crochet ) de la page de BIND9 des Packages Debian jessie-oldstable s'il vous plaît, (elle est visible ici https://packages.debian.org/fr/jessie/bind9 ). Je ne sais quoi dire mais vous pouvez mettre de côté cet email s'il faut (enfin ma demande, je la fais car je n'ai pas trouvé la signification de cet élément sur le site et ne sait à quoi m'en tenir concernant cet avertissement qui ne figure pas sur plusieurs autres pages de BIND9 correspondant à d'autres distributions que jessie-oldstable. Merci beaucoup de votre temps rien qu'à la lecture de cet email, Pascal.
[RFR] wml://security/2017/dsa-3945.wml
Bonjour, Une nouvelle annonce de sécurité vient d'être publiée. En voici une traduction. C'est presque entièrement la même que dsa-3927 Merci d'avance pour vos relectures. Amicalement, jipege #use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits, un déni de service ou des fuites d'informations. https://security-tracker.debian.org/tracker/CVE-2014-9940;>CVE-2014-9940 Un défaut d'utilisation de mémoire après libération dans le pilote du régulateur de courant et de tension pourrait permettre à un utilisateur local de provoquer un déni de service ou éventuellement une augmentation de droit. https://security-tracker.debian.org/tracker/CVE-2017-7346;>CVE-2017-7346 Li Qiang a découvert que le pilote DRM pour les processeurs graphiques virtuels de VMware ne vérifiait pas correctement les valeurs, contrôlées par l'utilisateur, des limites supérieures dans les fonctions vmw_surface_define_ioctl(). Un utilisateur local peut tirer avantage de ce défaut pour provoquer un déni de service. https://security-tracker.debian.org/tracker/CVE-2017-7482;>CVE-2017-7482 Shi Lei a découvert que le code de traitement de tickets RxRPC de Kerberos 5 ne vérifiait pas correctement les métadonnées, menant à la divulgation d'informations, à un déni de service ou éventuellement à l'exécution de code arbitraire. https://security-tracker.debian.org/tracker/CVE-2017-7533;>CVE-2017-7533 Fan Wu et Shixiong Zhao ont découvert une situation de compétition entre les événements d'inotify et les opérations de renommage de VFS, permettant à un attaquant local non privilégié de provoquer un déni de service ou une augmentation de droits. https://security-tracker.debian.org/tracker/CVE-2017-7541;>CVE-2017-7541 Un défaut de dépassement de tampon dans le pilote de réseau sans fil local IEEE802.11n PCIe SoftMAC de Broadcom pourrait permettre à un utilisateur local de provoquer une corruption de la mémoire du noyau, menant à un déni de service ou éventuellement à une augmentation de droits. https://security-tracker.debian.org/tracker/CVE-2017-7542;>CVE-2017-7542 Une vulnérabilité de dépassement d'entier dans la fonction ip6_find_1stfragopt() a été découverte permettant à un attaquant local avec les droits pour l'ouverture de sockets bruts de provoquer un déni de service. https://security-tracker.debian.org/tracker/CVE-2017-7889;>CVE-2017-7889 Tommi Rantala et Brad Spengler ont signalé que le sous-système mm n'applique pas correctement le mécanisme de protection CONFIG_STRICT_DEVMEM, permettant à un attaquant local doté d'un accès à /dev/mem d'obtenir des informations sensibles ou éventuellement d'exécuter du code arbitraire. https://security-tracker.debian.org/tracker/CVE-2017-9605;>CVE-2017-9605 Murray McAllister a découvert que le pilote DRM pour les GPU virtuels de VMware n'initialisait pas la mémoire correctement, permettant éventuellement à un attaquant local d'obtenir des informations sensibles de la mémoire non initialisée du noyau à l'aide d'un appel ioctl contrefait. https://security-tracker.debian.org/tracker/CVE-2017-10911;>CVE-2017-10911 / XSA-216 Anthony Perard de Citrix a découvert un défaut de fuite d'informations dans le traitement des réponses blkif de Xen, permettant à un client malveillant non privilégié d'obtenir des informations sensibles à partir de l'hôte ou d'autres clients. https://security-tracker.debian.org/tracker/CVE-2017-11176;>CVE-2017-11176 La fonction mq_notify() ne règle pas le pointeur « sock » à NULL lors de son entrée dans la logique de réessai. Un attaquant peut tirer avantage de ce défaut lors de la fermeture de l'espace utilisateur d'un socket Netlink pour provoquer un déni de service ou éventuellement d'autres impacts. https://security-tracker.debian.org/tracker/CVE-2017-1000363;>CVE-2017-1000363 Roee Hay a signalé que le pilote lp ne vérifie pas correctement les limites des arguments passés, permettant à un attaquant local doté d'un accès en écriture aux arguments en ligne de commande du noyau d'exécuter du code arbitraire. https://security-tracker.debian.org/tracker/CVE-2017-1000365;>CVE-2017-1000365 Les pointeurs argument et environnement ne sont pas correctement pris en compte par les restrictions de taille imposées aux chaînes d'argument et d'environnement passées par RLIMIT_STACK/RLIMIT_INFINITY. Un attaquant local peut tirer avantage de ce défaut en conjonction avec d'autres défauts pour exécuter du code arbitraire. Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 3.16.43-2+deb8u3. Nous vous recommandons de mettre à jour vos paquets linux. # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3945.data" # $Id: dsa-3945.wml,v 1.1
[RFR] po-debconf://isa-support/fr.po 3u
Bonjour, Le 17/08/2017 à 15:58, jean-pierre giraud a écrit : > Bonjour, > Le 17/08/2017 à 15:37, Julien Patriarca a écrit : >> Bonjour, >> Le paquet isa-support utilise po-debconf mais >> les écrans >> debconf ne sont pas encore traduits en français. Voici une proposition de traduction. Merci d'avance pour vos relectures. Amicalement, jipeg # Translation of isa-support debconf templates to French. # Copyright (C) 2017 Debian French l10n team# This file is distributed under the same license as the isa-support package. # Jean-Pierre Giraud , 2017. msgid "" msgstr "" "Project-Id-Version: isa-support\n" "Report-Msgid-Bugs-To: isa-supp...@packages.debian.org\n" "POT-Creation-Date: 2017-08-15 13:39+0200\n" "PO-Revision-Date: 2017-08-17 22:49+0200\n" "Language: fr_FR\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" "Last-Translator: Jean-Pierre Giraud \n" "Language-Team: French \n" "X-Generator: Poedit 1.8.11\n" #. Type: note #. Description #: ../templates.in:1001 msgid "Support for & required" msgstr "La prise en charge de & est requise" #. Type: note #. Description #: ../templates.in:1001 msgid "" "Alas, your machine doesn't support the & instruction set. It is needed " "by software that depends on this dummy package. Sorry." msgstr "" "Hélas, votre machine ne gère pas le jeu d'instructions &. Il est " "nécessaire au logiciel qui dépend de ce paquet factice." #. Type: note #. Description #: ../templates.in:1001 msgid "Aborting installation." msgstr "Installation interrompue."
[RFR] md://publicity/bits/2017/debian-mobile-continues-fr.md
Bonjour, Le travail de Debian mobile continue et fait l'objet d'un billet sur le blogue officiel de Debian "Bits from Debian" https://bits.debian.org/2017/08/debian-mobile-continues.html J'ai préparé une traduction que je soumets à vos relectures. Amicalement, jipege Title: Le travail sur Debian pour les mobiles continue Slug: debian-mobile-continues Date: 2017-08-17 15:40 Author: W. Martin Borgert Tags: debian, mobile, debconf17, pocketchip, pyra, zerophone Status: published Translator: Jean-Pierre Giraud Le travail sur Debian pour les appareils mobiles, c'est-à -dire les téléphones, les tablettes et les ordinateurs de poche se poursuit Durant la dernière [DebConf 17](https://debconf17.debconf.org/) à Montréal, Canada, plus de 50 personnes se sont réunies pour réévaluer les perspectives et les enjeux pour Debian sur les appareils mobiles. Un certain nombre d'appareils ont été montrés à la DebConf : * [PocketCHIP](https://getchip.com/pages/pocketchip) : un très petit ordinateur de poche avec clavier, WiFi, USB et Bluetooth, fonctionnant avec Debian 8 (Jessie) ou 9 (Stretch). * [Pyra](https://pyra-handheld.com/boards/pages/pyra/) : un ordinateur de poche modulaire avec un écran tactile, des commandes de jeu, WiFi, un clavier, de multiples ports USB et des emplacements pour carte SD et un modem optionel pour soit l'Europe soit les USA. Il est fourni avec Debian préinstallé. * [Samsung Galaxy S Relay 4G](https://en.wikipedia.org/wiki/Samsung_Galaxy_S_Relay_4G) : un smartphone Android avec un clavier physique qui peut déjà exécuter des parties de l'espace utilisateur de Debian sur le noyau Android. La mise à niveau du noyau est Kernel en route. * [ZeroPhone](https://www.crowdsupply.com/arsenijs/zerophone) : un smartphone libre basé sur Raspberry Pi Zero, avec un petit écran un clavier de téléphone classique et des commutateurs physiques pour le téléphone, le WiFi et le microphone. Il fonctionne avec le système d'exploitation Raspbian basé sur Debian. [![photo des Samsung, Pyra, N900, ZeroPhone, GnuK et PocketCHIP â cliquez pour agrandir](|filename|/images/debian-mobile-continues_small.jpg)](https://annex.debconf.org/debconf-share/debconf17/photos/aigarius/IMG_1262.JPG "photo of Samsung, Pyra, N900, ZeroPhone, GnuK, and PocketCHIP") La photo (cliquer pour agrandir) montre ces quatre appareils avec un [Nokia N900](https://en.wikipedia.org/wiki/Nokia_N900), qui a été le premier smartphone de Nokia basé sur Linux, fonctionnant avec Maemo basé sur Debian, et un [jeton chiffré Gnuk](https://www.fsij.org/category/gnuk.html) totalement sans rapport, qui est juste glissé au milieu. Si vous souhaitez participer, veuillez * consulter la [page Debian Mobile du wiki](https://wiki.debian.org/Mobile), * vous abonner à la [liste de diffusion Debian mobile](https://lists.debian.org/debian-mobile/), * ou rejoindre le canal IRC #debian-mobile sur irc.oftc.net.
[ITT] po-debconf://isa-support/fr.po 3u
Bonjour, Le 17/08/2017 à 15:37, Julien Patriarca a écrit : > Bonjour, > > Le paquet isa-support utilise po-debconf mais > les écrans > debconf ne sont pas encore traduits en français. > > Statistiques du fichier : 3u (u=nombre de chaînes non traduites). > > Merci au volontaire de répondre à ce courriel avec un sujet > "[ITT] po-debconf://isa-support/fr.po"" Je vais m'en occuper. Amicalement, jipege
[BTS#872356] po-debconf://sash/fr.po 3u
On Thu, Aug 17, 2017 at 03:55:12PM +0200, Julien Patriarca wrote: > On Thu, Aug 17, 2017 at 03:53:11PM +0200, Julien Patriarca wrote: > > On Thu, Aug 17, 2017 at 03:51:45PM +0200, Julien Patriarca wrote: > > > On Thu, Aug 17, 2017 at 03:50:24PM +0200, Julien Patriarca wrote: > > > > Je refais le fil car une typo dans le titre fait que le robot ne le voit > > > > pas comme fait. > > > > Merci de ne pas répondre > > > > > > ITT > > > > > RFR > > LCFC BTS signature.asc Description: PGP signature
[LCFC] po-debconf://sash/fr.po 3u
On Thu, Aug 17, 2017 at 03:53:11PM +0200, Julien Patriarca wrote: > On Thu, Aug 17, 2017 at 03:51:45PM +0200, Julien Patriarca wrote: > > On Thu, Aug 17, 2017 at 03:50:24PM +0200, Julien Patriarca wrote: > > > Je refais le fil car une typo dans le titre fait que le robot ne le voit > > > pas comme fait. > > > Merci de ne pas répondre > > > > ITT > > > RFR LCFC # Translation of sash debconf templates to French. # Copyright (C)2017 Debian French l10n team# This file is distributed under the same license as the sash package. # # Jean-Pierre Giraud , 2017. msgid "" msgstr "" "Project-Id-Version: sash\n" "Report-Msgid-Bugs-To: s...@packages.debian.org\n" "POT-Creation-Date: 2017-07-29 16:31+0200\n" "PO-Revision-Date: 2017-08-02 17:25+0200\n" "Language-Team: French \n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" "X-Generator: Poedit 1.8.11\n" "Last-Translator: Jean-Pierre Giraud \n" "Plural-Forms: nplurals=2; plural=(n > 1);\n" "Language: fr_FR\n" #. Type: error #. Description #: ../templates:1001 msgid "sashroot user detected" msgstr "Détection d'un utilisateur sashroot" #. Type: error #. Description #: ../templates:1001 msgid "" "Previous versions of sash offered to create a root user with shell set to /" "bin/sash. This system has such a user." msgstr "" "Les versions précédentes de sash proposaient de créer un utilisateur root " "dont le shell était réglé sur /bin/sash. Ce système possède cet utilisateur." #. Type: error #. Description #: ../templates:1001 msgid "" "This can unfortunately not be automatically removed together with the " "package, so you need to manually delete the sashroot user." msgstr "" "Malheureusement, il ne peut pas être supprimé en même temps que le paquet. " "Aussi, vous devez supprimer vous-même l'utilisateur sashroot." signature.asc Description: PGP signature
[RFR] po-debconf://sash/fr.po 3u
On Thu, Aug 17, 2017 at 03:51:45PM +0200, Julien Patriarca wrote: > On Thu, Aug 17, 2017 at 03:50:24PM +0200, Julien Patriarca wrote: > > Je refais le fil car une typo dans le titre fait que le robot ne le voit > > pas comme fait. > > Merci de ne pas répondre > > ITT > RFR # Translation of sash debconf templates to French. # Copyright (C)2014 Debian French l10n team# This file is distributed under the same license as the sash package. # # Jean-Pierre Giraud , 2017. msgid "" msgstr "" "Project-Id-Version: sash\n" "Report-Msgid-Bugs-To: s...@packages.debian.org\n" "POT-Creation-Date: 2017-07-29 16:31+0200\n" "PO-Revision-Date: 2017-07-29 17:04+0200\n" "Language-Team: French \n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" "X-Generator: Poedit 1.8.11\n" "Last-Translator: Jean-Pierre Giraud \n" "Plural-Forms: nplurals=2; plural=(n > 1);\n" "Language: fr_FR\n" #. Type: error #. Description #: ../templates:1001 msgid "sashroot user detected" msgstr "un utilisateur sashroot est détecté" #. Type: error #. Description #: ../templates:1001 msgid "" "Previous versions of sash offered to create a root user with shell set to /" "bin/sash. This system has such a user." msgstr "" "Les versions précédentes de sash proposaient de créer un utilisateur root " "dont le shell était réglé sur /bin/sash. Ce système possède cet utilisateur." #. Type: error #. Description #: ../templates:1001 msgid "" "This can unfortunately not be automatically removed together with the " "package, so you need to manually delete the sashroot user." msgstr "" "Malheureusement, il ne peut pas être supprimé en même temps que le paquet. " "Aussi, vous devez supprimer vous-même l'utilisateur sashroot." signature.asc Description: PGP signature
[ITT] po-debconf://sash/fr.po 3u
On Thu, Aug 17, 2017 at 03:50:24PM +0200, Julien Patriarca wrote: > Je refais le fil car une typo dans le titre fait que le robot ne le voit > pas comme fait. > Merci de ne pas répondre ITT signature.asc Description: PGP signature
[TAF] po-debconf://sash/fr.po 3u
Je refais le fil car une typo dans le titre fait que le robot ne le voit pas comme fait. Merci de ne pas répondre sash_3.8-4_templates.pot.gz Description: application/gzip signature.asc Description: PGP signature
[LCFC2] wml://security/2015/dla-22{2,3,4,5,6,7,8,9}.wml
Bonjour, Le 16/08/2017 à 18:15, jean-pierre giraud a écrit : >> Le 09/08/2017 à 19:59, Baptiste Jammet a écrit : >>> Bonjour, >>> Dixit jean-pierre giraud, le 09/08/2017 : Suggestions reprises. Merci pour vos nouvelles relectures. >>> dla-228 : >>> s/prochainement corrigés/corrigés prochainement/ >>> pour être homogène avec le reste ? >>> Baptiste Détails après une relecture d'Alban. Merci pour vos nouvelles relectures. Amicalement, jipege #use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS https://security-tracker.debian.org/tracker/CVE-2012-5783;>CVE-2012-5783 et https://security-tracker.debian.org/tracker/CVE-2012-6153;>CVE-2012-6153 Apache Commons HttpClient 3.1 ne vérifiait pas que le nom d'hôte du serveur correspondait à un nom de domaine dans les champs Common Name (CN) ou subjectAltName du sujet du certificat X.509. Cela permet à des attaquants de « homme du milieu » d'usurper l'identité de serveurs SSL à l'aide d'un certificat valable arbitraire. Merci à Alberto Fernandez Martinez pour le correctif. https://security-tracker.debian.org/tracker/CVE-2014-3577;>CVE-2014-3577 Il a été découvert que le correctif pour https://security-tracker.debian.org/tracker/CVE-2012-6153;>CVE-2012-6153 était incomplet : le code ajouté pour vérifier que le nom d'hôte du serveur correspond au nom de domaine dans le champ Common Name (CN) du sujet dans les certificats X.509 était fautif. Un attaquant de type « homme du milieu » pourrait utiliser ce défaut pour usurper l'identité d'un serveur SSL avec un certificat X.509 contrefait. Le correctif pour https://security-tracker.debian.org/tracker/CVE-2012-6153;>CVE-2012-6153 visait à corriger la correction incomplète pour https://security-tracker.debian.org/tracker/CVE-2012-5783;>CVE-2012-5783. Ce problème est maintenant complètement résolu en appliquant ce correctif et celui pour les précédents CVE. Cet envoi a été préparé par Markus Koschany. # do not modify the following line #include "$(ENGLISHDIR)/security/2015/dla-222.data" # $Id: dla-222.wml,v 1.2 2017/08/17 13:26:40 jipege1-guest Exp $
[TAF] po-debconf://isa-support/fr.po 3u
Bonjour, Le paquet isa-support utilise po-debconf mais les écrans debconf ne sont pas encore traduits en français. Statistiques du fichier : 3u (u=nombre de chaînes non traduites). Merci au volontaire de répondre à ce courriel avec un sujet "[ITT] po-debconf://isa-support/fr.po"" Comment procéder pour traduire : -utiliser le fichier templates.pot attaché -le mettre dans un répertoire chez vous, par exemple ~/traducs/po-debconf/TODO/isa-support -le copier sous le nom fr.po (IMPORTANT, cela permet de garder l'original) -l'éditer et traduire, de préférence avec un outil dédié genre kbabel ou poedit (ou emacs et son po-mode s'il ne vous enquiquine pas trop) -ne pas oublier de remplir les champs : Project-Id-Version: --> mettre ici le nom du paquet et sa version au moment de la traduc est une bonne idée Last-Translator: --> le plus souvent votre outil mettra tout seul VOTRE adresse Language-Team: --> mettez "French\n" -envoyer le fichier ici pour relecture avec le sujet "[RFR] po-debconf://isa-support/fr.po -une fois "suffisamment" de relectures envoyées et la synthèse faite, postez un "[LCFC] po-debconf:// isa-support/fr.po" de préférence en "réponse" à votre RFR -envoyez alors un rapport de bogue à l'auteur du paquet. Ci-dessous mon script "bug-trad" à moi, à utiliser "bug-trad isa-support" #!/bin/sh reportbug --attach=fr.po --include="/home/bubulle/src/debian/translation/po/patch-translate.txt" --offline -s "$1: French debconf templates translation" --severity=wishlist --tag=patch --tag=l10n --no-config-files --package-version="N/A" $1 isa-support_2_templates.pot.gz Description: application/gzip signature.asc Description: PGP signature
Re: [RFR2] wml://security/2016/dla-14{0,1,2,3,5}.wml
Bonjour, Le 17/08/2017 11:19, jean-pierre giraud a écrit : Le 17/08/2017 à 10:29, JP Guillonneau a écrit : le lundi 14 août 18:47, Baptiste Jammet a écrit : URL au féminin ? http://www.gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=26515499 http://jargonf.org/wiki/URL Mais https://fr.wikipedia.org/wiki/URL (ce n'est pas un argument d'autorité…) Je suis plutôt prêt à suivre la fiche de l'oqlf et essayer de m'en tenir au masculin, voire de corriger à l'occasion les occurrences féminines, même si je comprends parfaitement le choix du féminin (url = adresse) et même des arguments d'euphonisme : une url sonnerait mieux qu'un url. Il me semble que le féminin est utilsé majoritairement (voire exclusivement) sur le site web et dans nos traductions. C'est la raison de ma préférence (rester homogène). (Ou alors on passe tout au masculin, mais c'est pas moi qui m'y colle !) Baptiste
Re: [RFR2] wml://security/2016/dla-14{0,1,2,3,5}.wml
Le 17/08/2017 à 10:29, JP Guillonneau a écrit : > Bonjour, > > le lundi 14 août 18:47, Baptiste Jammet a écrit : > >> URL au féminin ? > > http://www.gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=26515499 > http://jargonf.org/wiki/URL > > D’autres avis ? > > Amicalement. > > -- > Jean-Paul > Je suis plutôt prêt à suivre la fiche de l'oqlf et essayer de m'en tenir au masculin, voire de corriger à l'occasion les occurrences féminines, même si je comprends parfaitement le choix du féminin (url = adresse) et même des arguments d'euphonisme : une url sonnerait mieux qu'un url. jipege
Re: [RFR2] wml://security/2016/dla-14{0,1,2,3,5}.wml
Bonjour, le lundi 14 août 18:47, Baptiste Jammet a écrit : >URL au féminin ? http://www.gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=26515499 http://jargonf.org/wiki/URL D’autres avis ? Amicalement. -- Jean-Paul
[RFR] wml://security/2017/dsa-394{3,4}.wml
Bonjour, deux nouvelles annonces de sécurité viennent d'être publiées. En voici une traduction. Merci d'avance pour vos relectures. Amicalement, jipege #use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité Plusieurs problèmes ont été découverts dans le serveur de base de données MariaDB. Ces vulnérabilités sont corrigées en mettant MariaDB à niveau vers la nouvelle version amont 10.0.32. Veuillez lire les notes de publication de MariaDB 10.0 pour de plus amples détails : https://mariadb.com/kb/en/mariadb/mariadb-10031-release-notes/;>\ https://mariadb.com/kb/en/mariadb/mariadb-10031-release-notes/ https://mariadb.com/kb/en/mariadb/mariadb-10032-release-notes/;>\ https://mariadb.com/kb/en/mariadb/mariadb-10032-release-notes/ Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 10.0.32-0+deb8u1. Nous vous recommandons de mettre à jour vos paquets mariadb-10.0. # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3944.data" # $Id: dsa-3944.wml,v 1.1 2017/08/17 07:57:59 jipege1-guest Exp $ #use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité Gajim, un client XMPP/Jabber basé sur GTK+, met en Åuvre de façon inconditionnelle l'extension « XEP-0146: Remote Controlling Clients » permettant à un serveur XMPP malveillant de déclencher des commandes pour divulguer des conversations privées provenant de sessions chiffrées. Avec cette mise à jour, la prise en charge de XEP-0146 a été désactivée par défaut et rendue optionnelle à travers l'option remote_commands. Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 0.16-1+deb8u2. Pour la distribution stable (Stretch), ce problème a été corrigé avant publication initiale. Nous vous recommandons de mettre à jour vos paquets gajim. # do not modify the following line #include "$(ENGLISHDIR)/security/2017/dsa-3943.data" # $Id: dsa-3943.wml,v 1.1 2017/08/17 07:57:59 jipege1-guest Exp $
[LCFC] wml://security/2015/dla-13{3,5,6,7,8,9}.wml
Bonjour, dernière chance de commentaire. Amicalement. -- Jean-Paul
[LCFC2] wml://security/2016/dla-44{0,1,2,3,4,5}.wml
Bonjour, le mercredi 16 août 17:15, Alban Vidal a écrit : >Suggestions. Merci, intégrées. D’autres commentaires ? Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS https://security-tracker.debian.org/tracker/CVE-2013-6441;>CVE-2013-6441 Le script de modèle lxc-sshd avait lâhabitude de se monter lui-même comme /sbin/init dans le conteneur en utilisant un bind-mount modifiable. Cette mise à jour résout le problème en utilisant un bind-mount uniquement lisible, empêchant toute forme de dommage accidentel éventuel. https://security-tracker.debian.org/tracker/CVE-2015-1335;>CVE-2015-1335 Lors du démarrage du conteneur, lxc règle lâarbre du système de fichiers initial du conteneur en créant beaucoup de montages, en se guidant sur le fichier de configuration. La configuration du conteneur est entre les mains de lâadministrateur ou de lâutilisateur sur lâhôte, aussi nous nâessayons pas de protéger contre de mauvaises entrées. Cependant, puisque la cible de montage est dans le conteneur, il est possible que lâadministrateur du conteneur puisse rediriger le montage avec des liens symboliques. Cela pourrait contourner le propre démarrage du conteneur (c'est-à -dire, le confinement dâun conteneur de lâadministrateur par la politique restrictive dâAppArmor, en redirigeant lâécriture requise vers /proc/self/attr/current), ou contourner la politique dâAppArmor (basée sur les chemins) en redirigeant, par exemple, /proc vers /mnt dans le conteneur. Cette mise à jour implémente une fonction safe_mount() empêchant lxc de réaliser des montages sur des liens symboliques. # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dla-442.data" # $Id: dla-442.wml,v 1.3 2017/08/17 07:59:07 jptha-guest Exp $ #use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS https://security-tracker.debian.org/tracker/CVE-2015-2305;>CVE-2015-2305 Un dépassement dâentier dans lâimplémentation de regcomp dans la bibliothèque BSD dâexpressions rationnelles dâHenry Spencer (c'est-à -dire, rxspencer) version alpha3.8.g5 sur les plateformes 32 bits, telle quâutilisée dans NetBSD jusquâà la version 6.1.5 et dâautres produits, pourrait permettre, à des attaquants en fonction du contexte dâexécuter du code arbitraire à l'aide d'une longue expression rationnelle, conduisant à un dépassement de tas. https://security-tracker.debian.org/tracker/CVE-2015-2348;>CVE-2015-2348 Lâimplémentation de move_uploaded_file dans ext/standard/basic_fonctions.c de PHP dans les versions avant 5.4.39, 5.5.x avant 5.5.23 et 5.6.x avant 5.6.7, tronque un nom de chemin si un caractère \x00 est rencontré. Cela permet à des attaquants distants de contourner les restrictions voulues dâextension et de créer des fichiers avec des noms inattendus à l'aide d'un second argument contrefait. Note : cette vulnérabilité existe à cause dâun correctif incomplet pour https://security-tracker.debian.org/tracker/CVE-2006-7243;>CVE-2006-7243. CVE-2016-tmp, Bogue n° 71039 Fonctions dâexécution ignorant la longueur mais recherchant une terminaison NULL CVE-2016-tmp, Bogue n° 71089 Absence de vérification de double occurrence de zend_extension CVE-2016-tmp, Bogue n° 71201 Erreur de segmentation pour round() dans les constructions 64 bits CVE-2016-tmp, Bogue n° 71459 Dépassement dâentier dans iptcembed() CVE-2016-tmp, Bogue n° 71354 Corruption de tas dans lâanalyseur d'archives tar/zip/phar CVE-2016-tmp, Bogue n° 71391 Déréférence de pointeur NULL dans phar_tar_setupmetadata() CVE-2016-tmp, Bogue n° 70979 Plantage lors de requête SOAP incorrecte # do not modify the following line #include "$(ENGLISHDIR)/security/2016/dla-444.data" # $Id: dla-444.wml,v 1.3 2017/08/17 07:59:08 jptha-guest Exp $