Re: [RFR2] wml://News/2016/20160917.wml

2016-09-18 Par sujet Baptiste Jammet 
Bonjour, 

Dixit jean-pierre giraud, le 18/09/2016 :

>Merci Jean-Paul pour cette relecture attentive comme d'habitude. J'ai
>tout repris sauf s/tel/telle si le déterminant est URI, le terme est
>plus souvent considéré comme masculin.
Un URI, et une URL ? Si oui, il faut accorder l'adjectif l. 147 :

 20160917.wml	2016-09-18 12:18:53.929193656 +0200
+++ ./20160917-bj.wml	2016-09-18 12:29:00.709192143 +0200
@@ -94,7 +94,7 @@
 
 cutthrough avec des lignes de lettres avec un simple point ; correction de plantage avec exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}' ; amélioration du fichier NEWS ; rétroportage de la correction amont manquante pour réaliser vraiment le travail d'expansion $initial_cwd">
 
-
+
 
 
 
@@ -144,7 +144,7 @@
 
 
 
-
+
 
 
 


pgpPHXCGsQ4zi.pgp
Description: OpenPGP digital signature

Re: [RFR] wml://security/2016/dsa-36{66,67,68,69,70}.wml

2016-09-18 Par sujet Steve Petruzzello 

RAS pour l'ensemble.

[RFR] wml://security/2016/dsa-36{66,67,68,69,70}.wml

2016-09-18 Par sujet jean-pierre giraud 
Bonjour,
Cinq nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Dawid Golunski de LegalHackers a découvert que le script init de Tomcat
réalisait un traitement non sécurisé de fichier, qui pourrait avoir pour
conséquence une augmentation locale de droits.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 8.0.14-1+deb8u3.

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets tomcat8.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3670.data"
# $Id: dsa-3670.wml,v 1.1 2016/09/18 09:02:07 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Dawid Golunski de LegalHackers a découvert que le script init de Tomcat
réalisait un traitement non sécurisé de fichier, qui pourrait avoir pour
conséquence une augmentation locale de droits.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 7.0.56-3+deb8u4.

Nous vous recommandons de mettre à jour vos paquets tomcat7.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3669.data"
# $Id: dsa-3669.wml,v 1.1 2016/09/18 09:02:07 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Il y avait une vulnérabilité de contrefaçon de requête intersite (CSRF)
dans Mailman, un gestionnaire de listes de diffusion avec interface web, qui
pourrait permettre à un attaquant d'obtenir le mot de passe de
l'utilisateur.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1:2.1.18-2+deb8u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:2.1.23-1.

Nous vous recommandons de mettre à jour vos paquets mailman.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3668.data"
# $Id: dsa-3668.wml,v 1.1 2016/09/18 09:02:07 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Plusieurs vulnérabilités ont été découvertes dans le navigateur web
Chromium.



https://security-tracker.debian.org/tracker/CVE-2016-5170";>CVE-2016-5170

Un problème d'utilisation de mémoire après libération a été découvert
dans Blink/Webkit.

https://security-tracker.debian.org/tracker/CVE-2016-5171";>CVE-2016-5171

Un autre problème d'utilisation de mémoire après libération a été
découvert dans Blink/Webkit.

https://security-tracker.debian.org/tracker/CVE-2016-5172";>CVE-2016-5172

Choongwoo Han a découvert une fuite d'informations dans la bibliothèque
JavaScript V8.

https://security-tracker.debian.org/tracker/CVE-2016-5173";>CVE-2016-5173

Un problème de contournement de ressource a été découvert dans les
extensions.

https://security-tracker.debian.org/tracker/CVE-2016-5174";>CVE-2016-5174

Andrey Kovalev a découvert un moyen de contourner le bloqueur de vue
additionnelle (« popup »).

https://security-tracker.debian.org/tracker/CVE-2016-5175";>CVE-2016-5175

L'équipe de développement de chrome a découvert et corrigé plusieurs
problèmes lors d'un audit interne.

https://security-tracker.debian.org/tracker/CVE-2016-7395";>CVE-2016-7395

Un problème de lecture de mémoire non initialisée a été découvert dans
la bibliothèque skia.



Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 53.0.2785.113-1~deb8u1.

Pour la distribution testing (Stretch), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 53.0.2785.113-1.

Nous vous recommandons de mettre à jour vos paquets chromium-browser.


# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3667.data"
# $Id: dsa-3667.wml,v 1.1 2016/09/18 09:02:07 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité

Dawid Golunski a découvert que l'enveloppe mysqld_safe fournie par le
serveur de base de données MySQL restreignait de façon insuffisante 
le chemin de chargement pour les implémentations personnalisées de malloc,
ce qui pourrait avoir pour conséquence une augmentation de droits.

La vulnérabilité est corrigée en mettant MySQL à niveau vers la nouvelle
version amont 5.5.52, qui comprend d'autres changements tels que des
améliorations de performance, des corrections de bogues, de nouvelles
fonctionnalités et éventuellement des modifications. Veuillez consulter les
notes de publication de MySQL 5.5 pour de plus amples détails :


https://dev.mysq

[RFR2] wml://News/2016/20160917.wml

2016-09-18 Par sujet jean-pierre giraud 
Bonjour,
Le 18/09/2016 à 09:19, JP Guillonneau a écrit :
> Bonjour,
> suggestions.
> Amicalement.
> --
> Jean-Paul
Merci Jean-Paul pour cette relecture attentive comme d'habitude. J'ai
tout repris sauf s/tel/telle si le déterminant est URI, le terme est
plus souvent considéré comme masculin.
Je suis confus pour l'oubli du paragraphe sur Mariadb : il a été ajouté
avant le passage entre publicity et webwml et signalé sur le canal
debian-publicity, mais je l'ai "zappé".
Merci d'avance pour vos nouvelles relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
Publication de la mise à jour de Debian 8.6
2016-09-17
#use wml::debian::news
# $Id:

8
jessie
8.6


DSA-%1
<:
my @p = ();
for my $p (split (/,\s*/, "%2")) {
	push (@p, sprintf ('https://packages.debian.org/src:%s";>%s', $p, $p));
}
print join (", ", @p);
:>



https://packages.debian.org/src:%0";>%0  %1


https://packages.debian.org/src:%0";>%0


Le projet Debian a l'honneur d'annoncer la sixième mise à jour de sa
distribution stable Debian  (nommée ).
Tout en réglant quelques problèmes importants, cette mise à jour corrige
principalement des problèmes de sécurité de la version stable. Les annonces de
sécurité ont déjà été publiées séparément et sont simplement référencées dans
ce document.



Veuillez noter que cette mise à jour ne constitue pas une nouvelle version
Debian  mais seulement une mise à jour de certains des paquets
qu'elle contient. Il n'est pas nécessaire de jeter les anciens CD et DVD de la
version  mais simplement de faire une mise à jour à l’aide d’un miroir Debian
après une installation, pour déclencher la mise à jour de tout paquet
obsolète.



Ceux qui installent fréquemment les mises à jour à partir de
security.debian.org n'auront pas beaucoup de paquets à mettre à jour et la
plupart des mises à jour de security.debian.org sont comprises dans cette mise
à jour.



De nouveaux supports d'installation et des images de CD et de DVD contenant
les paquets mis à jour seront prochainement disponibles à leurs emplacements habituels.



La mise à jour en ligne vers cette version se fait en faisant pointer l'outil
de gestion des paquets aptitude (ou apt) (consultez la page de manuel
sources.list(5)) sur l'un des nombreux miroirs FTP ou HTTP de Debian. Une
liste complète des miroirs est disponible à l'adresse :


  https://www.debian.org/mirror/list



Corrections de bogues divers

Cette mise à jour de la version stable apporte quelques corrections importantes aux paquets suivants :

Paquet   Raison





















cutthrough avec des lignes de lettres avec un simple point ; correction de plantage avec exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}' ; amélioration du fichier NEWS ; rétroportage de la correction amont manquante pour réaliser vraiment le travail d'expansion $initial_cwd">
























Essential: yes par init 1.34">











StartTLS stripping attack dans smtplib [CVE-2016-0772], dépassement d'entier dans zipimporter [CVE-2016-5636], injection d'en-tête HTTP [CVE-2016-5699]">


Fiddle::handle ne devrait pas appeler des fonctions avec des noms de fonction souillés [CVE-2015-7551]">


quiet sur la ligne de commande du noyau ; correction de la fonction prepare priority queue comparison dans sd-event ; mise à jour des liens vers la documentation cgroup de kernel.org ; pas de lancement de console-getty.service lorsque /dev/console est absent ; ordonnancement de systemd-user-sessions.service après nss-user-lookup.target et network.target">




pidfile ; appel de start-stop-daemon avec l'option --retry pour l'action stop">









Le paquet mariadb-10.0 échoue lors de sa construction pour l’architecture
powerpc, mais a été inclus dans cette publication intermédiaire pour permettre
une correction plus rapide du bogue CVE-2016-6662, qui n’a pas été rendue publique
au moment de cet envoi. Si une correction pour l’échec de construction est disponible
avant la prochaine DSA pour mariadb-10.0, une mise à jour de paquet peut être publiée
à l’aide de jessie-updates.

Mises à jour de sécurité



Cette révision ajoute les mises à jour de sécurité suivantes à la version
stable. L'équipe de sécurité a déjà publié une annonce pour chacune de ces
mises à jour :



Identifiant  Paquet
































































































Paquets supprimés

Les paquets suivants ont été supprimés à cause de circonstances hors de
notre contrôle :



Paquet   Raison





Installateur Debian

L'installateur a été mis à jour pour inclure les correctifs incorporés
dans cette version.

URL


Liste complète des paquets qui ont été modifiés dans cette version :



  http://ftp.debian.org/debian/dists/>/ChangeLog">


Adresse de l'actuelle distribution stabl

Re: [RFR] wml://News/2016/20160917.wml

2016-09-18 Par sujet JP Guillonneau 
Bonjour,

suggestions.

Amicalement.

--
Jean-Paul
--- 000f.20160917.wml	2016-09-18 07:21:23.179520641 +0200
+++ -	2016-09-18 09:17:04.623502125 +0200
@@ -72,7 +72,7 @@
 
 Paquet   Raison
 
-
+
 
 
 
@@ -80,26 +80,26 @@
 
 
 
-
+
 
-
+
 
-
+
 
 
 
-
+
 
 
-
-cutthrough avec des lignes du corps du texte avec un simple point ; correction de plantage avec exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}' ; amélioration du fichier NEWS ; rétroportage de la correction amont manquante pour réaliser vraiment le travail d'expansion $initial_cwd">
+
+cutthrough avec des lignes de lettres avec un seul point ; correction de plantage avec exim -be '${if crypteq{xxx}{\$aaa}{yes}{no}}' ; amélioration du fichier NEWS ; rétroportage de la correction amont manquante pour réaliser vraiment le travail d'expansion $initial_cwd">
 
 
 
 
 
 
-
+
 
 
 
@@ -109,15 +109,15 @@
 
 
 
-
-
+
+
 
-
+
 
 
-
+
 
-Essential: yes par init 1.34">
+Essential: yes par init 1.34">
 
 
 
@@ -125,14 +125,14 @@
 
 
 
-
-
+
+
 
 
 StartTLS stripping attack dans smtplib [CVE-2016-0772], dépassement d'entier dans zipimporter [CVE-2016-5636], injection d'en-tête HTTP [CVE-2016-5699]">
 
 
-Fiddle::handle ne devrait pas appeler des fonctions avec des noms de fonction teintés [CVE-2015-7551]">
+Fiddle::handle ne devrait pas appeler des fonctions avec des noms de fonction souillés [CVE-2015-7551]">
 
 
 quiet sur la ligne de commande du noyau ; correction de la fonction prepare priority queue comparison dans sd-event ; mise à jour des liens vers la documentation cgroup de kernel.org ; pas de lancement de console-getty.service lorsque /dev/console est absent ; ordonnancement de systemd-user-sessions.service après nss-user-lookup.target et network.target">
@@ -146,10 +146,17 @@
 
 
 
-
+
 
 
 
+Le paquet mariadb-10.0 échoue lors de sa construction pour l’architecture
+powerpc, mais a été inclus dans cette publication intermédiaire pour permettre
+une correction plus rapide du bogue CVE-2016-6662, qui n’a pas été rendue publique
+au moment de cet envoi. Si une correction pour l’échec de construction est disponible
+avant la prochaine DSA pour mariadb-10.0, une mise à jour de paquet peut être publiée
+à l’aide de jessie-updates.
+
 Mises à jour de sécurité
 
 
@@ -300,8 +307,7 @@
 
 
 
-Informations sur la distribution stable (notes de publication, errata,
-etc.) :
+Informations sur la distribution stable (notes de publication, errata, etc.) :