Bonjour, quelques anciennes annonces de sécurité de plus.
Les textes en anglais sont ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-66x.wml Merci d'avance pour vos relectures. Amicalement, jipege
#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans dwarfutils, un outil et une bibliothèque pour lire ou interpréter et écrire ou produire des informations de débogage de DWARF. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8538";>CVE-2015-8538</a> <p>Un fichier ELF contrefait pour l'occasion peut provoquer une erreur de segmentation.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8750";>CVE-2015-8750</a> <p>Un ficheier ELF contrefait pour l'occasion peut provoquer un déréférencement de pointeur NULL.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2050";>CVE-2016-2050</a> <p>Écriture hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-2091";>CVE-2016-2091</a> <p>Lecture hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5034";>CVE-2016-5034</a> <p>Écriture hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5036";>CVE-2016-5036</a> <p>Lecture hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5038";>CVE-2016-5038</a> <p>Lecture hors limites.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5039";>CVE-2016-5039</a> <p>Lecture hors limites</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-5042";>CVE-2016-5042</a> <p>Une section DWARF contrefaite pour l'occasion peut provoquer une boucle infinie, en lisant à partir d'adresses de mémoire croissantes jusqu'au plantage de l'application.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 20120410-2+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets dwarfutils.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-669.data" # $Id: $
#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans libass, une bibliothèque pour manipuler le format de fichier de sous-titres SubStation Alpha (SSA). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7969";>CVE-2016-7969</a> <p>L'égalisation des coupures de ligne en mode 0/3 pourrait avoir pour conséquence, dans des cas particuliers, des lectures illégales lors de la présentation et la mise en forme de texte.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7972";>CVE-2016-7972</a> <p>Problème de réallocation de mémoire dans la fonction « shaper » qui mène à un comportement non défini.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 0.10.0-3+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libass.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-668.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Tobias Stoeckmann du projet OpenBSD a découvert un certain nombre de problèmes dans la manière dont diverses bibliothèques de client X géraient les réponses qu'elles recevaient des serveurs. Une validation insuffisante des données issues du serveur X peut provoquer des accès mémoire hors limites et une corruption de mémoire dans la bibliothèque libxv.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2:1.0.7-1+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libxv.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-667.data" # $Id: $
#use wml::debian::translation-check translation="55d1ac616e9ec6fe42ad1680e45c2ce133b85547" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans GNU Guile, une implémentation du langage de programmation Scheme. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8605";>CVE-2016-8605</a> <p>La procédure mkdir de GNU Guile modifiait temporairement l'umask du processus à zéro. Pendant dans ce laps de temps, dans une application multiprocessus, les autres processus pourraient finir par créer des fichiers avec des permissions non sures.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8606";>CVE-2016-8606</a> <p>GNU Guile fournit un <q>serveur REPL</q> qui est une invite d'interpréteur de commande à laquelle les développeurs peuvent se connecter pour de la programmation à la volée et à fin de débogage. Le serveur REPL est démarré avec l'option de ligne de commande « --listen » ou une API équivalente.</p> <p>Il a été signalé que le serveur REPL est vulnérable l'attaque inter-protocole HTTP.</p> <p>Cela constitue une vulnérabilité d'exécution distante de code pour des développeurs faisant fonctionner un serveur REPL qui écoute un périphérique « loopback » ou un réseau privé. Les applications qui n'exécutent pas un serveur REPL, comme c'est le cas habituellement, ne sont pas affectées.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.0.5+1-3+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets guile-2.0.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-666.data" # $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6911";>CVE-2016-6911</a> <p>Lecture non valable dans gdImageCreateFromTiffPtr()<br/> (l'essentiel du code n'est pas présent dans la version de Wheezy)</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8670";>CVE-2016-8670</a> <p>Dépassement de pile dans dynamicGetbuf de GD</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2.0.36~rc1~dfsg-6.1+deb7u6.</p> <p>Nous vous recommandons de mettre à jour vos paquets libgd2.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-665.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Tobias Stoeckmann du projet OpenBSD a découvert un certain nombre de problèmes dans la manière dont diverses bibliothèques de client X géraient les réponses qu'elles recevaient des serveurs. Une validation insuffisante des données issues du serveur X dans libxrandr pourrait provoquer des écritures mémoire hors limites dans la bibliothèque libXrender, permettant à l'utilisateur une élévation de ses privilèges.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 1:0.9.7-1+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets libxrender.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-664.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il a été découvert que Tor traitait le contenu de certains morceaux de tampon comme si c'était une chaîne terminée par un caractère NUL. Ce problème pourrait permettre à un attaquant distant de planter un client, un service caché, un relais ou une autorité Tor. Cette mise à jour vise à se défendre contre cette classe générale de bogues.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans la version 0.2.4.27-2.</p> <p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 0.2.5.12-3., pour unstable (Sid) avec la version 0.2.8.9-1, et pour experimental avec la version 0.2.9.4-alpha-1.</p> <p>En complément, pour <q>Wheezy</q>, cela met à jour l'ensemble des serveurs de répertoires d'autorité vers celui venant de Tor 0.2.8.7, publié en août 2016.</p> <p>Nous vous recommandons de mettre à jour vos paquets tor.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-663.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Il y avait un dépassement de pile dans le code de réception RA IPv6 dans quagga, un démon de routage BGP/OSPF/RIP.</p> <p>La taille du tampon, spécifiée lors de la réception, mélangeait de deux constantes mélangées qui avaient des valeurs différentes.</p> <p>Pour Debian 7 <q>Wheezy</q>, ce problème a été corrigé dans quagga version 0.99.22.4-1+wheezy3+deb7u1.</p> <p>Nous vous recommandons de mettre à jour vos paquets quagga.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-662.data" # $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Agostino Sarubbo de Gentoo a découvert plusieurs vulnérabilités de sécurité dans libarchive, une bibliothèque d'archive et de compression multi-format. Un attaquant pourrait tirer avantage de ces défauts pour provoquer un dépassement de tampon ou une lecture hors limites utilisant un fichier d'entrée soigneusement contrefait.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8687";>CVE-2016-8687</a> <p>Agostino Sarubbo de Gentoo a découvert un possible dépassement de pile lors de l'affichage d'un nom de fichier dans bsdtar_expand_char() de util.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8688";>CVE-2016-8688</a> <p>Agostino Sarubbo de Gentoo a découvert une possible lecture hors limites lors de l'analyse de longues lignes multiples dans bid_entry() et detect_form() d'archive_read_support_format_mtree.c.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2016-8689";>CVE-2016-8689</a> <p>Agostino Sarubbo de Gentoo a découvert un possible dépassement de tas lors de la lecture de fichiers 7z corrompus dans read_Header() d'archive_read_support_format_7zip.c.</p></li> </ul> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 3.0.4-3+wheezy5.</p> <p>Nous vous recommandons de mettre à jour vos paquets libarchive.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-661.data" # $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité pour LTS</define-tag> <define-tag moreinfo> <p>Une validation insuffisante des données issues du serveur X dans libxrandr antérieur à v1.5.0 peut provoquer des écritures mémoire hors limites et des dépassements d'entier.</p> <p>Pour Debian 7 <q>Wheezy</q>, ces problèmes ont été corrigés dans la version 2:1.3.2-2+deb7u2.</p> <p>Nous vous recommandons de mettre à jour vos paquets libxrandr.</p> <p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-660.data" # $Id: $
