Re: [RFR] wml://security/2016/dla-43{2,4,5,7,9}.wml

[jean-pierre giraud]

Bonjour,
Le 07/08/2017 à 07:37, JP Guillonneau a écrit :
> Bonjour,
> Voici quelques traductions de dla adaptées de :
> DLA   DSA
> 439   3503
> Merci d'avance pour vos relectures.
> Amicalement.
> --
> Jean-Paul
Relecture.
Amicalement,
jipege

--- dla-432.wml	2017-08-09 12:11:20.645524511 +0200
+++ dla-432jpg.wml	2017-08-09 13:04:39.247049782 +0200
@@ -2,11 +2,11 @@
 Mise à jour de sécurité pour LTS
 
 Plusieurs bogues ont été découverts dans PostgreSQL, un système de serveur
-de bases de données relationnelles. La branche 8.4 est obsolète pour l’amont,
-mais encore présente dans Squeeze de Debian. Cette nouvelle version mineure de
-LTS fournit des correctifs appliqués par l’amont à la version 9.1.20,
-rétroportée vers la version 8.4.22 qui est la dernière version publiée
-officiellement par les développeurs de PostgreSQL. Cet effort de LTS pour
+de bases de données relationnelles. La branche 8.4 a atteint sa fin de vies pour l’amont,
+mais elle est encore présente dans Squeeze de Debian. Cette nouvelle version mineure de
+LTS fournit les correctifs appliqués par l’amont à la version 9.1.20,
+rétroportée vers la version 8.4.22 qui était la dernière version publiée
+officiellement par les développeurs de PostgreSQL. Cette initiative de LTS pour
 Squeeze-lts est un projet de la communauté parrainé par credativ GmbH.
 
 Cette publication est la dernière mise à jour de LTS PostgreSQL 8.4. Les
@@ -15,7 +15,7 @@
 
 Migration vers la version 8.4.22lts6
 
-Un vidage et restauration n’est pas requis pour ceux utilisant la
+Un vidage et restauration n’est pas requis pour ceux qui utilisent la
 version 8.4.X. Cependant, si vous mettez à niveau à partir d’une version
 antérieure à la version 8.4.22, consultez les notes de publication.
 
@@ -25,20 +25,20 @@
 des expressions rationnelles (Tom Lane)
 
 Une très grande série de caractères dans des expressions entre crochets
-pourrait provoquer des boucles infinies dans certains cas ou dans d’autres,
+pourrait provoquer des boucles infinies dans certains cas ou, dans d’autres,
 des écrasements de mémoire
 (https://security-tracker.debian.org/tracker/CVE-2016-0773;>CVE-2016-0773).
 
 Réalisation d’un arrêt immédiat en cas de suppression du fichier
 postmaster.pid (Tom Lane)
 
-Le maître de poste dorénavant vérifie aux environs de chaque minute que le
+Dorénavant, le maître de poste vérifie chaque minute environ que le
 fichier postmaster.pid est présent et contient ses propres PID. Sinon, il
 réalise un arrêt immédiat comme s’il avait reçu un SIGQUIT. La principale
 motivation pour ce changement est de veiller que des échecs dans la grappe de
 construction soient nettoyés sans intervention manuelle. Mais il sert aussi à
 limiter les effets indésirables si un administrateur de base de données
-supprime par la force le fichier postmaster.pid et puis en redémarre un
+supprime par la force le fichier postmaster.pid et puis en démarre un
 nouveau.
 
 
--- dla-435.wml	2017-08-09 12:11:20.737523829 +0200
+++ dla-435jpg.wml	2017-08-09 14:10:14.511629401 +0200
@@ -1,9 +1,9 @@
 #use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
 Mise à jour de sécurité pour LTS
 
-Tomcat 6, une implémentation de les spécifications dans la servlet et JSp
+Tomcat 6, une implémentation des spécifications dans la servlet et JSp
 (JavaServer Pages ) de Java, et un pur environnement de serveur Java, était
-affectés par de nombreux problèmes de sécurité avant la version 6.0.45.
+affecté par de nombreux problèmes de sécurité avant la version 6.0.45.
 
 
 
@@ -14,8 +14,8 @@
 avant 8.0.27, permet à des attaquants distants authentifiés de contourner les
 restrictions voulues de SecurityManager, et d’obtenir une liste du répertoire
 parent à l'aide d'un « /.. » (barre oblique point point) dans un nom de chemin
-utilisé par une application web  avec un appel getResource,
-getResourceAsStream ou getResourcePaths, comme montrée dans le répertoire
+utilisé par une application web avec un appel getResource,
+getResourceAsStream ou getResourcePaths, comme montré dans le répertoire
 $CATALINA_BASE/webapps.
 
 https://security-tracker.debian.org/tracker/CVE-2015-5345;>CVE-2015-5345
@@ -38,7 +38,7 @@
 Tomcat d’Apache versions 6.x avant 6.0.45, 7.x avant 7.0.68, 8.x
 avant 8.0.31, et 9.x avant 9.0.0.M2, ne place pas
 org.apache.catalina.manager.StatusManagerServlet dans la liste
-/catalina/core/RestrictedServlets.properties d’org/apache. Cela permet à des
+org/apache/catalina/core/RestrictedServlets.properties . Cela permet à des
 utilisateurs distants authentifiés de contourner les restrictions voulues de
 SecurityManager et lire des requêtes HTTP arbitraires, et par la suite
 découvrir les valeurs des ID de sessions, à l'aide d'une application web
@@ -46,12 +46,12 @@
 
 

[RFR] wml://security/2016/dla-43{2,4,5,7,9}.wml

[JP Guillonneau]

Bonjour,

Voici quelques traductions de dla adaptées de :
DLA DSA
439 3503

Merci d'avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs bogues ont été découverts dans PostgreSQL, un système de serveur
de bases de données relationnelles. La branche 8.4 est obsolète pour l’amont,
mais encore présente dans Squeeze de Debian. Cette nouvelle version mineure de
LTS fournit des correctifs appliqués par l’amont à la version 9.1.20,
rétroportée vers la version 8.4.22 qui est la dernière version publiée
officiellement par les développeurs de PostgreSQL. Cet effort de LTS pour
Squeeze-lts est un projet de la communauté parrainé par credativ GmbH.

Cette publication est la dernière mise à jour de LTS PostgreSQL 8.4. Les
utilisateurs devraient migrer vers une version plus récente de PostgreSQL à la
première occasion.

Migration vers la version 8.4.22lts6

Un vidage et restauration n’est pas requis pour ceux utilisant la
version 8.4.X. Cependant, si vous mettez à niveau à partir d’une version
antérieure à la version 8.4.22, consultez les notes de publication.

Correctifs

Correction de problèmes de boucle infinie et de débordement de tampon dans
des expressions rationnelles (Tom Lane)

Une très grande série de caractères dans des expressions entre crochets
pourrait provoquer des boucles infinies dans certains cas ou dans d’autres,
des écrasements de mémoire
(https://security-tracker.debian.org/tracker/CVE-2016-0773;>CVE-2016-0773).

Réalisation d’un arrêt immédiat en cas de suppression du fichier
postmaster.pid (Tom Lane)

Le maître de poste dorénavant vérifie aux environs de chaque minute que le
fichier postmaster.pid est présent et contient ses propres PID. Sinon, il
réalise un arrêt immédiat comme s’il avait reçu un SIGQUIT. La principale
motivation pour ce changement est de veiller que des échecs dans la grappe de
construction soient nettoyés sans intervention manuelle. Mais il sert aussi à
limiter les effets indésirables si un administrateur de base de données
supprime par la force le fichier postmaster.pid et puis en redémarre un
nouveau.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-432.data"
# $Id: dla-432.wml,v 1.1 2017/08/07 05:34:57 jptha-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Gustavo Grieco a découvert différents problèmes de sécurité dans gdk-pixbuf
de Gtk+2.0.



https://security-tracker.debian.org/tracker/CVE-2015-4491;>CVE-2015-4491

Dépassement de tas lors du traitement d’images BMP, permettant d’exécuter
du code arbitraire à l’aide d’images malformées.

https://security-tracker.debian.org/tracker/CVE-2015-7673;>CVE-2015-7673

Dépassement de tas lors du traitement d’images TGA, permettant d’exécuter
du code arbitraire ou un déni de service (plantage du processus) à l’aide
d’images malformées.

https://security-tracker.debian.org/tracker/CVE-2015-7674;>CVE-2015-7674

Dépassement d’entier lors du traitement d’images GIF, permettant d’exécuter
du code arbitraire ou un déni de service (plantage du processus) à l’aide
d’images malformées.



Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 2.20.1-2+deb6u2 de gtk+2.0. Nous vous recommandons de mettre à jour
vos paquets gtk+2.0.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dla-434.data"
# $Id: dla-434.wml,v 1.1 2017/08/07 05:34:57 jptha-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Tomcat 6, une implémentation de les spécifications dans la servlet et JSp
(JavaServer Pages ) de Java, et un pur environnement de serveur Java, était
affectés par de nombreux problèmes de sécurité avant la version 6.0.45.



https://security-tracker.debian.org/tracker/CVE-2015-5174;>CVE-2015-5174

Une vulnérabilité de traversée de répertoire dans RequestUtil.java dans
Tomcat d’Apache versions 6.x avant 6.0.45, 7.x avant 7.0.65, et 8.x
avant 8.0.27, permet à des attaquants distants authentifiés de contourner les
restrictions voulues de SecurityManager, et d’obtenir une liste du répertoire
parent à l'aide d'un « /.. » (barre oblique point point) dans un nom de chemin
utilisé par une application web  avec un appel getResource,
getResourceAsStream ou getResourcePaths, comme montrée dans le répertoire
$CATALINA_BASE/webapps.

https://security-tracker.debian.org/tracker/CVE-2015-5345;>CVE-2015-5345

Le composant Mapper dans Tomcat d’Apache versions 6.x avant 6.0.45, 7.x
avant 7.0.67, 8.x avant 8.0.30 et 9.x avant 9.0.0.M2, traite les redirections
avant de considérer les contraintes et filtres de sécurité, ce