Re: [RFR] wml://security/2015/dla-22{2,3,4,5,6,7,8,9}.wml

2017-08-09 Par sujet JP Guillonneau 
Bonjour,

suggestions.


Amicalement.

--
Jean-Paul
--- 0014.dla-223.wml	2017-08-09 10:49:28.201268442 +0200
+++ -	2017-08-09 10:50:38.158212871 +0200
@@ -2,7 +2,7 @@
 Mise à jour de sécurité pour LTS
 
 Une vulnérabilité a été découverte dans nbd-server, le serveur pour le
-périphérique réseau en mode bloc de Linux (« Network Block Device ».
+périphérique réseau en mode bloc de Linux (« Network Block Device »).
 
 
 
--- 0016.dla-224.wml	2017-08-09 10:51:02.001664314 +0200
+++ -	2017-08-09 10:52:12.085044857 +0200
@@ -2,7 +2,7 @@
 Mise à jour de sécurité pour LTS
 
 L'extension OpenSSL de Ruby, qui fait partie de l'interpréteur du langage
-Ruby, n'implémente pas correctement la comparaison de nom d'hôte, en
+Ruby, n'implémente pas correctement la comparaison de noms d'hôte, en
 violation de la norme RFC 6125. Cela pourrait permettre à des attaquants
 distants de réaliser à une attaque de type « homme du milieu » à l'aide de
 certificats SSL contrefaits.
--- 001e.dla-227.wml	2017-08-09 11:01:00.946112328 +0200
+++ -	2017-08-09 11:03:45.738998943 +0200
@@ -12,12 +12,16 @@
 
 
 
-https://security-tracker.debian.org/tracker/CVE-2015-3165;>CVE-2015-3165 Plantage distant :
+https://security-tracker.debian.org/tracker/CVE-2015-3165;>CVE-2015-3165
+
+Plantage distant :
 
 La déconnexion de clients SSL juste avant l'expiration du délai
 d'authentification peut causer le plantage du serveur.
 
-https://security-tracker.debian.org/tracker/CVE-2015-3166;>CVE-2015-3166 Fuite d'informations :
+https://security-tracker.debian.org/tracker/CVE-2015-3166;>CVE-2015-3166
+
+Fuite d'informations :
 
 L'implémentation de remplacement de snprintf() ne vérifie pas
 correctement les erreurs signalées par les appels de la bibliothèque système
@@ -25,7 +29,9 @@
 des situations de saturation de mémoire. Dans le pire des cas, cela peut
 mener à une fuite d'informations.
 
-https://security-tracker.debian.org/tracker/CVE-2015-3167;>CVE-2015-3167 Possible divulgation de clé par canal auxiliaire :
+https://security-tracker.debian.org/tracker/CVE-2015-3167;>CVE-2015-3167
+
+Possible divulgation de clé par canal auxiliaire :
 
 Dans contrib/pgcrypto, certains cas de déchiffrement avec une clé
 incorrecte pourraient rapporter d'autres textes de message d'erreur.

[RFR] wml://security/2015/dla-22{2,3,4,5,6,7,8,9}.wml​

2017-08-08 Par sujet jean-pierre giraud 
Bonjour,
Voici 8 traductions de dla (dont 223 inspiré de dsa-3251, 226 de 3268 et
227 de 3269)
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS




https://security-tracker.debian.org/tracker/CVE-2012-5783;>CVE-2012-5783
et https://security-tracker.debian.org/tracker/CVE-2012-6153;>CVE-2012-6153
 Apache Commons HttpClient 3.1 ne vérifiait pas que le nom d'hôte du
 serveur correspondait à un nom de domaine dans les champs Common Name (CN)
 ou subjectAltName du sujet du certificat X.509. Cela permet à des
 attaquants de type homme du milieu d'usurper l'identité de serveurs SSL à
 l'aide  d'un certificat valable arbitraire. Merci à Alberto Fernandez
 Martinez pour le correctif.

https://security-tracker.debian.org/tracker/CVE-2014-3577;>CVE-2014-3577

 Il a été découvert que le correctif pour https://security-tracker.debian.org/tracker/CVE-2012-6153;>CVE-2012-6153
 était incomplet : le code ajouté pour vérifier que le nom d'hôte du serveur
 correspond au nom de domaine dans le champ Common Name (CN) du sujet
 dans les certificats X.509 était fautif. Un attaquant de type homme du
 milieu pourrait utiliser ce défaut pour usurper l'identité d'un serveur SSL
 avec un certificat X.509 contrefait. Le correctif pour https://security-tracker.debian.org/tracker/CVE-2012-6153;>CVE-2012-6153
 visait à corriger la correction incomplète pour https://security-tracker.debian.org/tracker/CVE-2012-5783;>CVE-2012-5783.
 Ce problème est maintenant complètement résolu en appliquant ce correctif
 et celui pour les précédents CVE.



Cet envoi a été préparé par Markus Koschany.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-222.data"
# $Id: dla-222.wml,v 1.1 2017/08/08 22:04:17 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Une vulnérabilité a été découverte dans nbd-server, le serveur pour le
périphérique réseau en mode bloc de Linux (« Network Block Device ».



https://security-tracker.debian.org/tracker/CVE-2015-0847;>CVE-2015-0847

Tuomas Räsänen a découvert qu'il y a un traitement de signal non sécurisé
dans nbd-server. Cette vulnérabilité pourrait être exploitée par un client
distant pour provoquer un déni de service.



Pour la distribution oldoldstable (Squeeze), ces problèmes ont été
corrigés dans la version 1:2.9.16-8+squeeze2.

Pour les distributions oldstable, stable et testing, ces problèmes seront
corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets nbd-server.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-223.data"
# $Id: dla-223.wml,v 1.1 2017/08/08 22:04:17 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

L'extension OpenSSL de Ruby, qui fait partie de l'interpréteur du langage
Ruby, n'implémente pas correctement la comparaison de nom d'hôte, en
violation de la norme RFC 6125. Cela pourrait permettre à des attaquants
distants de réaliser à une attaque de type « homme du milieu » à l'aide de
certificats SSL contrefaits.

Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé
dans la version 1.8.7.302-2squeeze4.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans
la version 1.8.7.358-7.1+deb7u3.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-224.data"
# $Id: dla-224.wml,v 1.1 2017/08/08 22:04:17 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

La vulnérabilité suivante a été découverte dans dnsmasq :



https://security-tracker.debian.org/tracker/CVE-2015-3294;>CVE-2015-3294

   Des attaquants distants pourraient lire la mémoire du processus et
   provoquer un déni de service à l'aide de requêtes DNS mal formées.



Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans dnsmasq
version 2.55-2+deb6u1.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-225.data"
# $Id: dla-225.wml,v 1.1 2017/08/08 22:04:17 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Tavis Ormandy a découvert que NTFS-3G, un pilote de lecture et écriture
NTFS pour FUSE, n'effaçait pas l'environnement avant d'exécuter mount ou
umount avec des droits élevés. Un utilisateur local peut tirer avantage de
ce défaut pour écraser des fichiers arbitraires et gagner des privilèges
plus élevés en accédant à des fonctionnalités de débogage à travers
l'environnement, cela ne devrait pas normalement être sûr pour des
utilisateurs sans droits.


# do not modify