[RFR] wml://lts/security/2020/dla-{1931,2053,2056}.wml

[JP Guillonneau]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul
#use wml::debian::translation-check translation="9d8f695fa53faa431768a3453813ed28b2de9da9" maintainer="Jean-Paul Guillonneau"
Mise à jour de régression pour LTS


Le correctif pour l’attaque temporelle ECDSA dans la bibliothèque de
chiffrement libgcrypt20 était incomplet.

Merci à Albert Chin-A-Young  pour le
signalement.



https://security-tracker.debian.org/tracker/CVE-2019-13627";>CVE-2019-13627

Il existait une attaque temporelle ECDSA dans la bibliothèque de chiffrement
libgcrypt20.



Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 1.6.3-2+deb8u8.

Nous vous recommandons de mettre à jour vos paquets libgcrypt20.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-1931.data"
# $Id: $
#use wml::debian::translation-check translation="b0a5c59185a4d21906ee3882d8c9004e25c7b13d" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Le texte de la DLA est dans la référence.

Pour Debian 8 Jessie, ce problème a été corrigé dans
la version 3.3.18-1+deb8u12.

Nous vous recommandons de mettre à jour vos paquets otrs2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2053.data"
# $Id: $
#use wml::debian::translation-check translation="8e8d2afbd226569371372239ff102b8c50b12f4e" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Il existait une vulnérabilité de dissimulation de requête HTTP dans waitress,
un serveur WSGI entièrement en Python.



https://security-tracker.debian.org/tracker/CVE-2019-16789";>CVE-2019-16789

Dans waitress jusqu’à la version 1.4.0, si un serveur mandataire est utilisé
devant waitress, une requête non valable peut être envoyée par un attaquant,
contournant le frontal, et qui est analysée différemment par waitress,
conduisant à une dissimulation potentielle de requête HTTP. Des requêtes
spécialement contrefaites contenant des caractères d’espace particuliers dans
l’en-tête Transfer-Encoding seront analysées par Waitress comme étant une
requête « chunked », mais un serveur frontal utilisera l’en-tête
Content-Length au lieu de Transfer-Encoding considéré comme non valable car
contenant des caractères non valables. Si un serveur frontal réalise un
pipeline HTTP vers un serveur dorsal waitress, cela pourrait conduire à un
découpage de requête HTTP aboutissant à un empoisonnement potentiel du cache
ou à une divulgation d'informations inattendues. Ce problème est corrigé dans
waitress 1.4.1 à l’aide d’une validation plus stricte des champs HTTP.



Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 0.8.9-2+deb8u1.

Nous vous recommandons de mettre à jour vos paquets waitress.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2056.data"
# $Id: $

Re: [RFR] wml://lts/security/2016/dla-54{0,1,2,3,4,5,6,6-2,7,8,9}.wml

[JP Guillonneau]

Bonjour,

détails.

Amicalement.

--
Jean-Paul
--- dla-544.wml	2020-01-02 03:25:47.249156466 +0100
+++ -	2020-01-02 03:43:28.583846877 +0100
@@ -5,8 +5,8 @@
 Le programme tcprewrite, un élément de la suite tcpreplay, ne vérifie
 pas la taille des trames qu'il traite. Des trames très grandes peuvent
 déclencher une erreur de segmentation, et ce type de trames survient
-lors de la capture de paquets sur des interfaces un MTU de ou proche
-de 65536. Par exemple, l'interface de boucle local lo du noyau Linux a une
+lors de la capture de paquets sur des interfaces avec un MTU de ou proche
+de 65536. Par exemple, l'interface de boucle locale lo du noyau Linux a une
 valeur de ce type.
 
 Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la
--- dla-545.wml	2020-01-02 03:25:47.249156466 +0100
+++ -	2020-01-02 03:36:41.534094503 +0100
@@ -3,7 +3,7 @@
 
 
 Plusieurs problèmes de sécurité ont été identifiés et corrigés dans ICU,
-la bibliothèque C et C++ « International Components for Unicode », dans
+la bibliothèque C et C++ « International Components for Unicode », dans
 Debian Wheezy.
 
 
--- dla-546.wml	2020-01-02 03:25:47.249156466 +0100
+++ -	2020-01-02 03:37:48.992728928 +0100
@@ -7,7 +7,7 @@
 jour wheezy-lts vers la dernière version en ligne conforme à l'approche
 adoptée pour les autres versions de Debian.
 
-Ces modifications ne sont pas strictement requises que clamav
+Ces modifications ne sont pas strictement requises pour que clamav
 fonctionne, mais les utilisateurs des versions précédentes dans Wheezy
 peuvent ne pas pouvoir utiliser toutes les signatures de virus actuelles
 et pourraient recevoir des avertissements.
--- dla-547.wml	2020-01-02 03:25:47.249156466 +0100
+++ -	2020-01-02 03:39:42.46385 +0100
@@ -1,7 +1,7 @@
 #use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
 Mise à jour de sécurité pour LTS
 
-Il y avait deux vulnérabilité de déni de service dans graphicsmagick,
+Il y avait deux vulnérabilités de déni de service dans graphicsmagick,
 une collection d'outils de traitement d'images :
 
 
--- dla-548.wml	2020-01-02 03:25:47.249156466 +0100
+++ -	2020-01-02 03:40:43.968501862 +0100
@@ -7,7 +7,7 @@
 Le module Overlay dans le noyau de Drupal affiche les pages
 d'administration comme une couche au-dessus de la page actuelle (en
 utilisant JavaScript) plutôt que de remplacer la page dans la fenêtre de
-navigation. Le module validait pas suffisamment les URL avant d'afficher
+navigation. Le module ne validait pas suffisamment les URL avant d'afficher
 leur contenu, menant à une vulnérabilité de redirection d'ouverture.
 
 Pour Debian 7 Wheezy, ce problème a été corrigé dans la

[RFR] wml://lts/security/2016/dla-54{0,1,2,3,4,5,6,6-2,7,8,9}.wml

[Jean-Pierre Giraud]

Bonjour,

quelques anciennes annonces de sécurité de plus.

Les textes en anglais sont ici :

https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-54x.wml

Merci d'avance pour vos relectures.

Amicalement,

jipege

#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

EventMachine, un moteur de réseau Ruby pourrait se planter en ouvrant un
grand nombre de connexions parallèles (>= 1024) vers un serveur utilisant
le moteur EventMachine. Le plantage se produit du fait de l'écrasement de
la pile par les descripteurs de fichier.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la
version 0.12.10-3+deb7u1.

Nous vous recommandons de mettre à jour vos paquets ruby-eventmachine.

Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-549.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Il y avait une vulnérabilité de redirection d'ouverture dans drupal7,
un environnement de gestion de contenu.

Le module Overlay dans le noyau de Drupal affiche les pages
d'administration comme une couche au-dessus de la page actuelle (en
utilisant JavaScript) plutôt que de remplacer la page dans la fenêtre de
navigation. Le module validait pas suffisamment les URL avant d'afficher
leur contenu, menant à une vulnérabilité de redirection d'ouverture.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la
version 7.14-2+deb7u13 dans drupal7.

Nous vous recommandons de mettre à jour vos paquets drupal7.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-548.data"
# $Id: $
#use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Il y avait deux vulnérabilité de déni de service dans graphicsmagick,
une collection d'outils de traitement d'images :



https://security-tracker.debian.org/tracker/CVE-2016-5240";>CVE-2016-5240

Déni de service évité en détectant et en rejetant des arguments
« stroke-dasharray » négatifs qui provoquaient une boucle infinie.

https://security-tracker.debian.org/tracker/CVE-2016-5241";>CVE-2016-5241

Correction d'un problème de division par zéro si une image de motif de
remplissage ou de traits ne comportait aucune colonne ou ligne, pour éviter
une attaque par déni de service.



Pour Debian 7 Wheezy, ce problème a été corrigé dans la
version 1.3.16-1.1+deb7u3 de graphicsmagick.

Nous vous recommandons de mettre à jour vos paquets graphicsmagick.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-574.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

La DLA 546-1 a été publiée de façon incorrecte avant que la mise à jour
des paquets de clamav ne soit disponible et il s'ensuit des problèmes avec
l'acceptation du paquet (qui a été depuis corrigé). Des mises à jour sont
maintenant disponibles pour toutes les architectures prises en charge par
LTS.

Nous vous recommandons de mettre à jour vos paquets clamav.

La version 0.99.2 a été publiée par l'amont. Cette actualisation met à
jour wheezy-lts vers la dernière version en ligne conforme à l'approche
adoptée pour les autres versions de Debian.

Ces modifications ne sont pas strictement requises que clamav
fonctionne, mais les utilisateurs des versions précédentes dans Wheezy
peuvent ne pas pouvoir utiliser toutes les signatures de virus actuelles
et pourraient recevoir des avertissements.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la
version 0.99.2+dfsg-0+deb7u2.

Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 0.99.2+dfsg-0+deb7u2 de clamav.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-546-2.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Nous vous recommandons de mettre à jour vos paquets clamav.

La version 0.99.2 a été publiée par l'amont. Cette actualisation met à
jour wheezy-lts vers la dernière version en ligne conforme à l'approche
adoptée pour les autres versions de Debian.

Ces modifications ne sont pa

Re: [RFR] wml://vote/2019/vote_002_{quorum,majority,index,results,}.src

[Alban Vidal]

Bonjour et bonne année à tous,

Le 29/12/2019 à 18:23, Jean-Pierre Giraud a écrit :
> Une série de fichiers liés aux résultats du vote de la résolution générale.
>
> Merci d'avance pour vos relectures.
> Le texte original est là :
> https://salsa.debian.org/webmaster-team/webwml/blob/master/english/vote/2019/

Il y avait une petite coquille dans le fichier vote_002_index.src, «
 » était sur la même ligne que le « translation-check
», je me suis permis de corriger directement sur Salsa.

Bonne soirée,

Alban




signature.asc
Description: OpenPGP digital signature

[RFR] wml://lts/security/2017/dla-106{0-9}.wml

[JP Guillonneau]

Bonjour,

ces (anciennes) annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.



--
Jean-Paul
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS




https://security-tracker.debian.org/tracker/CVE-2017-0663";>CVE-2017-0663

Une conversion non valable de différentes structures pourrait permettre à un
attaquant d’exécuter à distance du code dans le contexte d’un processus non
privilègié.

https://security-tracker.debian.org/tracker/CVE-2017-7376";>CVE-2017-7376

Limite incorrecte utilisée pour des valeurs de port.



Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans
la version 2.8.0+dfsg1-7+wheezy9.

Nous vous recommandons de mettre à jour vos paquets libxml2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1060.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Jeriko One a découvert que newsbeuter, un lecteur de flux RSS en mode texte,
ne protégeait pas correctement le titre et la description d’articles de
nouvelles lors de leurs mises en favori. Cela permettaient à un attaquant
distant d’exécuter une commande arbitraire d’interpréteur sur la machine
cliente.


Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans
la version 2.5-2+deb7u2.

Nous vous recommandons de mettre à jour vos paquets newsbeuter.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1061.data"
# $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS




https://security-tracker.debian.org/tracker/CVE-2017-1000100";>CVE-2017-1000100

Le traitement incorrect de noms de fichier très longs lors de TFTP pourrait
aboutir à ce que curl envoie plus qu’une taille de tampon.



Pour Debian 7 Wheezy, ce problème a été corrigé dans
la version 7.26.0-1+wheezy20.

Nous vous recommandons de mettre à jour vos paquets curl.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1062.data"
# $Id: $
#use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS




https://security-tracker.debian.org/tracker/CVE-2017-12756";>CVE-2017-12756

Correction  d’une injection de commande lors du transfert d’un autre serveur
dans extplorer 2.1.9 et précédents permet à un attaquant d’injecter des
commandes à l’aide du paramètre userfile[0].



Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans
la version 2.1.0b6+dfsg.3-4+deb7u5.

Nous vous recommandons de mettre à jour vos paquets extplorer.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2017/dla-1063.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Guido Vranken a découvert que FreeRADIUS, une implémentation au code source
ouvert de RADIUS, le protocole IETF pour AAA (Authorisation, Authentication, and
Accounting), ne gérait pas correctement la mémoire lors du traitement de
paquets. Cela pouvait permettre à un attaquant distant de provoquer un déni de
service en plantant l'application, ou éventuellement d’exécuter du code
arbitraire.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans
la version 2.1.12+dfsg-1.2+deb7u2.

Nous vous rec

[RFR2] wml://lts/security/2017/dla-109{0-9}.wml

[JP Guillonneau]

Bonjour,

le mercredi 01 janvier 10:20, Jean-Pierre Giraud a écrit :

>Suggestions.
Merci Jean-Pierre, intégrées.

Autre chance de commentaire.

Amicalement.

--
Jean-Paul

[RFR2] wml://lts/security/2017/dla-112{0-9}.wml

[JP Guillonneau]

Bonjour,

le mercredi 01 janvier  9:16, Jean-Pierre Giraud a écrit :

>Suggestions.
Merci Jean-Pierre, intégrées.

dernière chance de commentaire.

Amicalement.

--
Jean-Paul

[LCFC2] wml://lts/security/2017/dla-115{0-9}.wml

[JP Guillonneau]

Bonjour,

le mercredi 01 janvier  9:44, Jean-Pierre Giraud a écrit :

>Suggestions.
Merci Jean-Pierre, intégrées.

dernière chance de commentaire.

Amicalement.

--
Jean-Paul

[RFR] wml://lts/security/2019/dla-20{35,39,40,43,47,49,50,52,54}.wml

[JP Guillonneau]

Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-.wml

Merci d’avance pour vos relectures.

Amicalement.


--
Jean-Paul
#use wml::debian::translation-check translation="758441add86589735f180baf3bb2919ec3beffcf" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Un problème a été découvert dans libpgf, une bibliothèque pour gérer PGF
(Progressive Graphics File).

Dû à un manque de validation de ColorTableSize, un problème d’utilisation de
mémoire après libération peut apparaître dans Decoder.cpp


Pour Debian 8 Jessie, ce problème a été corrigé dans
la version 6.14.12-3+deb8u1.

Nous vous recommandons de mettre à jour vos paquets libpgf.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2035.data"
# $Id: $
#use wml::debian::translation-check translation="32dcaaef9ca75c0055c09cd8984ba5543ab7f3d3" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Deux problèmes ont été découverts dans libvorbis, a bibliothèque de décodage
pour le codec générique de compression audio Vorbis.

2017-14633

Dans libvorbis 1.3.5 de Xiph.Org, une vulnérabilité de lecture de tableau
hors limites existe dans la fonction mapping0_forward() dans mapping0.c, qui
pourrait conduire à un déni de service lors d’une opération avec
vorbis_analysis() sur un fichier audio contrefait .

2017-11333

La fonction vorbis_analysis_wrote dans lib/block.c dans libvorbis 1.3.5
de Xiph.Org permet à des attaquants distants de provoquer un déni de service
(OOM) à l'aide d'un fichier wav contrefait.


Pour Debian 8 Jessie, ces problèmes ont été corrigés dans
la version 1.3.4-2+deb8u3.

Nous vous recommandons de mettre à jour vos paquets libvorbis.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2039.data"
# $Id: $
#use wml::debian::translation-check translation="a5052b478d6cf6fad4216272849b05b9ab359236" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS


Un problème a été découvert dans harfbuzz, un moteur d'agencement de texte
OpenType.

Dû à une lecture excessive de tampon, des attaquants distants peuvent
provoquer un déni de service ou éventuellement d’autres impacts à l’aide de
données contrefaites.


Pour Debian 8 Jessie, ce problème a été corrigé dans
la version 0.9.35-2+deb8u1.

Nous vous recommandons de mettre à jour vos paquets harfbuzz.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2019/dla-2040.data"
# $Id: $
#use wml::debian::translation-check translation="1e848ced6f2d3ce80d48475db316adbb7b8824f1" maintainer="Jean-Paul Guillonneau"
Mise à jour de sécurité pour LTS

Plusieurs problèmes dans gdk-pixbuf, une bibliothèque de gestion de pixbuf,
ont été découverts.



https://security-tracker.debian.org/tracker/CVE-2016-6352";>CVE-2016-6352

Correction pour un déni de service (écriture hors limites et plantage) à
l’aide de dimensions contrefaites dans un fichier ICO.

https://security-tracker.debian.org/tracker/CVE-2017-2870";>CVE-2017-2870

Correction pour une vulnérabilité exploitable de dépassement d’entier dans la
fonction tiff_image_parse. Lorsque du logiciel est compilé avec clang, un
fichier tiff contrefait spécialement peut provoquer un dépassement de tas
aboutissant à une exécution de code à distance. Le paquet Debian est compilé
avec gcc et n’est pas touché, mais probablement quelque aval l’est.

https://security-tracker.debian.org/tracker/CVE-2017-6312";>CVE-2017-6312

Correction pour un dépassement d'entier dans io-ico.c, qui permet à des
attaquants de provoquer un déni de service (erreur de segmentation et plantage
d'application) à l'aide d'une image contrefaite.

https://security-tracker.debian.org/tracker/CVE-2017-6313";>CVE-2017-6313

Correction pour un dépassement d'entier par le bas dans la fonction
load_resources dans io-icns.c, qui permet des attaquants de provoquer un déni de

[RFR2] wml://lts/security/2016/dla-53{0,1,2,3,4,5,6,7,8,9}.wml

[Jean-Pierre Giraud]

Bonjour,

Le 01/01/2020 à 10:01, JP Guillonneau a écrit :
> Bonjour,
>
> suggestions.
>
> Amicalement.
>
> --
> Jean-Paul

Suggestions reprises. De nouvelles relectures ?

Amicalement,

jipege

#use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Un vulnérabilité a été découverte dans SPICE, le « Simple Protocol for
Independent Computing Environments ».

Frediano Ziglio de Red Hat a découvert que SPICE permettait aux
utilisateurs d'un système d'exploitation client local de lire à partir de ou
d'écrire vers des emplacements arbitraires de la mémoire de l'hôte au moyen
de paramètres primaires de surface contrefaits.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la
version 0.11.0-1+deb7u3.

Nous vous recommandons de mettre à jour vos paquets spice.

Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-531.data"
# $Id: $
#use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS



https://security-tracker.debian.org/tracker/CVE-2016-5093";>CVE-2016-5093

L'absence de caractère null provoque une longueur de zend_string
inattendue et une fuite mémoire de tas. Le script de test utilise
locale_get_primary_language pour accéder à get_icu_value_internal mais il y
a quelques autres fonctions qui déclenchent aussi ce problème :
locale_canonicalize, locale_filter_matches,
locale_lookup, locale_parse

https://security-tracker.debian.org/tracker/CVE-2016-5094";>CVE-2016-5094

pas de création de chaînes avec des longueurs en dehors de l'intervalle
des entiers

https://security-tracker.debian.org/tracker/CVE-2016-5095";>CVE-2016-5095

similaire au https://security-tracker.debian.org/tracker/CVE-2016-5094";>CVE-2016-5094
pas de création de chaînes avec des longueurs en dehors de l'intervalle des
entiers

https://security-tracker.debian.org/tracker/CVE-2016-5096";>CVE-2016-5096

confusion int/size_t dans fread

CVE-TEMP-bug-70661

bogue nº 70661: vulnérabilité d’utilisation de mémoire après libération
dans la désérialisation de paquet de WDDX

CVE-TEMP-bug-70728

bogue nº 70728 : vulnérabilité de confusion de type dans
PHP_to_XMLRPC_worker()

CVE-TEMP-bug-70741

bogue nº 70741 : vulnérabilité de confusion de type dans la
désérialisation de paquet de session WDDX

CVE-TEMP-bug-70480-raw

bogue nº 70480 : dépassement de tampon en lecture dans
php_url_parse_ex()



Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la
version 5.4.45-0+deb7u4.

Nous vous recommandons de mettre à jour vos paquets php5.

Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-533.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Dans une redirection de serveur d'une ressource HTTP vers une ressource
FTP, wget devait faire confiance au serveur HTTP et utilise le nom dans
l'URL redirigée comme nom de fichier de destination. Ce comportement a
changé et, maintenant, il fonctionne de la même manière qu'une redirection
d'une ressource HTTP à une autre ressource HTTP, donc le nom original est
utilisé comme fichier de destination. Pour conserver le comportement
précédent l'utilisateur doit fournir des --trust-server-names.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la
version 1.13.4-3+deb7u3.

Nous vous recommandons de mettre à jour vos paquets wget.

Plus d’informations à propos des annonces de sécurité de Debian LTS,
comment appliquer ces mises à jour dans votre système et les questions
fréquemment posées peuvent être trouvées sur :
https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS.


# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-536.data"
# $Id: $
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud"
Mise à jour de sécurité pour LTS

Roundcube, une solution web de messagerie pour les serveurs IMAP, était
vulnérable à des vulnérabilités de script intersite (XSS) lors du
traitement d'images SVG. Lors d'un clic droit sur le lien de téléchargement
d'une image attachée, il était possible que du Javascript incorporé
puisse être exécuté dans un onglet distinct.

La mise à jour désactive l'affichage d'images SVG dans les courriels et
les onglets. Le téléchargement

Re: [RFR] wml://lts/security/2017/dla-109{0-9}.wml

[Jean-Pierre Giraud]

Bonjour,

Le 30/12/2019 à 10:54, JP Guillonneau a écrit :
> Bonjour,
>
> ces (anciennes) annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-.wml
>
> Merci d’avance pour vos relectures.
>
> Amicalement.
>
> --
> Jean-Paul

Suggestions.

Amicalement,

jipege

--- /home/jpg1/webwml/french/lts/security/2017/dla-1098.wml	2019-12-30 12:29:48.353016164 +0100
+++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1098jpg.wml	2020-01-01 10:12:59.166211258 +0100
@@ -2,7 +2,7 @@
 Mise à jour de sécurité pour LTS
 
 
-L’équipe Cisco Talos a signalé deux problèmes sensibles de sécurité affectant
+L’équipe Cisco Talos a signalé deux problèmes de sécurité sensibles affectant
 FreeXL-1.0.3 et n’importe quelles versions précédentes.
 
 
@@ -10,7 +10,7 @@
 https://security-tracker.debian.org/tracker/CVE-2017-2923";>CVE-2017-2923
 
 Une vulnérabilité exploitable de dépassement de tampon basé sur le tas existe
-dans la fonction read_biff_next_record de FreeXL 1.0.3. A fichier XLS contrefait
+dans la fonction read_biff_next_record de FreeXL 1.0.3. Un fichier XLS contrefait
 spécialement peut causer une corruption de mémoire aboutissant à une exécution
 de code à distance. Un attaquant peut envoyer un fichier XLS malveillant pour
 déclencher cette vulnérabilité.
@@ -21,7 +21,7 @@
 dans la fonction read_legacy_biff de FreeXL 1.0.3. Un fichier XLS contrefait
 spécialement peut causer une corruption de mémoire aboutissant à une exécution
 de code à distance. Un attaquant peut envoyer un fichier XLS malveillant pour
- déclencher cette vulnérabilité.
+déclencher cette vulnérabilité.
 
 
 
--- /home/jpg1/webwml/french/lts/security/2017/dla-1099.wml	2019-12-30 12:29:48.353016164 +0100
+++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1099jpg.wml	2020-01-01 10:14:25.924614350 +0100
@@ -18,7 +18,7 @@
 
 Une vulnérabilité de dépassement d’entier dans la fonction
 ip6_find_1stfragopt() a été découverte permettant à un attaquant local avec
-privilèges d’ouvrir des sockets brutes de provoquer un déni de service.
+privilèges d’ouvrir des sockets brutes pour provoquer un déni de service.
 
 https://security-tracker.debian.org/tracker/CVE-2017-7889";>CVE-2017-7889
 
@@ -128,7 +128,7 @@
 capacité CAP_NET_RAW peuvent utiliser cela pour un déni de service ou
 éventuellement pour exécuter du code arbitraire.
 
-https://security-tracker.debian.org/tracker/CVE-2017-1000251";>CVE-2017-1000251 / #875881
+https://security-tracker.debian.org/tracker/CVE-2017-1000251";>CVE-2017-1000251 / nº 875881
 
 Armis Labs a découvert que le sous-système Bluetooth ne validait pas
 correctement les réponses de configuration L2CAP, menant à un dépassement de
@@ -139,8 +139,8 @@
 
 https://security-tracker.debian.org/tracker/CVE-2017-1000363";>CVE-2017-1000363
 
-Roee Hay a signalé that lea lp driver does not correctement bounds-check
-passed arguments. This has no security impact dans Debian.
+Roee Hay a signalé que le pilote lp ne vérifie pas correctement les limites
+des arguments passés. Cela n'a pas d'impact de sécurité impact dans Debian.
 
 https://security-tracker.debian.org/tracker/CVE-2017-1000365";>CVE-2017-1000365
 

Re: [RFR] wml://lts/security/2016/dla-53{0,1,2,3,4,5,6,7,8,9}.wml

[JP Guillonneau]

Bonjour,

suggestions.

Amicalement.

--
Jean-Paul
--- dla-531.wml	2020-01-01 09:29:55.140518363 +0100
+++ -	2020-01-01 09:37:58.811086360 +0100
@@ -5,7 +5,7 @@
 Independent Computing Environments ».
 
 Frediano Ziglio de Red Hat a découvert que SPICE permettait aux
-utilisateurs d'un système d'exploitation client local de lire à partir de
+utilisateurs d'un système d'exploitation client local de lire à partir de ou
 d'écrire vers des emplacements arbitraires de la mémoire de l'hôte au moyen
 de paramètres primaires de surface contrefaits.
 
--- dla-533.wml	2020-01-01 09:29:55.140518363 +0100
+++ -	2020-01-01 09:42:26.803990919 +0100
@@ -8,7 +8,7 @@
 L'absence de caractère null provoque une longueur de zend_string
 inattendue et une fuite mémoire de tas. Le script de test utilise
 locale_get_primary_language pour accéder à get_icu_value_internal mais il y
-a quelques autres fonctions qui déclenche aussi ce problème :
+a quelques autres fonctions qui déclenchent aussi ce problème :
 locale_canonicalize, locale_filter_matches,
 locale_lookup, locale_parse
 
@@ -29,7 +29,7 @@
 
 CVE-TEMP-bug-70661
 
-bogue nº 70661: vunérabilité d’utilisation de mémoire après libération
+bogue nº 70661: vulnérabilité d’utilisation de mémoire après libération
 dans la désérialisation de paquet de WDDX
 
 CVE-TEMP-bug-70728
--- dla-536.wml	2020-01-01 09:29:55.144518373 +0100
+++ -	2020-01-01 09:46:14.565295152 +0100
@@ -2,7 +2,7 @@
 Mise à jour de sécurité pour LTS
 
 Dans une redirection de serveur d'une ressource HTTP vers une ressource
-FTP, wget devrait faire confiance au serveur HTTP et utilise le nom dans
+FTP, wget devait faire confiance au serveur HTTP et utiliser le nom dans
 l'URL redirigée comme nom de fichier de destination. Ce comportement a
 changé et, maintenant, il fonctionne de la même manière qu'une redirection
 d'une ressource HTTP à une autre ressource HTTP, donc le nom original est
--- dla-537.wml	2020-01-01 09:29:55.144518373 +0100
+++ -	2020-01-01 09:57:49.555798767 +0100
@@ -2,13 +2,13 @@
 Mise à jour de sécurité pour LTS
 
 Roundcube, une solution web de messagerie pour les serveurs IMAP, était
-vulnérables à des vulnérabilités de script intersite (XSS) lors du
+vulnérable à des vulnérabilités de script intersite (XSS) lors du
 traitement d'images SVG. Lors d'un clic droit sur le lien de téléchargement
 d'une image attachée, il était possible que du Javascript incorporé
-pourrait être exécuté dans un onglet distinct.
+puisse être exécuté dans un onglet distinct.
 
 La mise à jour désactive l'affichage d'images SVG dans les courriels et
-les onglet. Le téléchargement des pièces jointes est toujour possible.
+les onglets. Le téléchargement des pièces jointes est toujours possible.
 Cette mise à jour de sécurité atténue aussi d'autres manières d'exploiter
 ce problème  dans les images SVG.
 (https://security-tracker.debian.org/tracker/CVE-2016-4068";>CVE-2016-4068)

Re: [LCFC] wml://lts/security/2017/dla-115{0-9}.wml

[Jean-Pierre Giraud]

Bonjour,

Le 28/12/2019 à 12:50, JP Guillonneau a écrit :
> Bonjour,
>
> dernière chance de commentaire.
>
> Amicalement.
>
> --
> Jean-Paul
>
Suggestions.

Amicalement,

jipege

--- /home/jpg1/webwml/french/lts/security/2017/dla-1159.wml	2019-12-27 17:50:39.233703003 +0100
+++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1159jpg.wml	2020-01-01 09:19:51.383156726 +0100
@@ -1,8 +1,8 @@
 #use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau"
 Mise à jour de sécurité pour LTS
 
-Maor Shwartz, Jeremy Heng et Terry Chia ont découvert deux vulnérabilité de
-sécurité dans Graphicsmagick, une collection d’outils de traitement.
+Maor Shwartz, Jeremy Heng et Terry Chia ont découvert deux vulnérabilités de
+sécurité dans Graphicsmagick, une collection d’outils de traitement d'image.
 
 
 
--- /home/jpg1/webwml/french/lts/security/2017/dla-1155.wml	2019-12-27 17:50:39.233703003 +0100
+++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1155jpg.wml	2020-01-01 09:34:03.984248399 +0100
@@ -5,12 +5,12 @@
 notables sont :
 
 
-la Chypre du Nord reprend les règles de l’UE à partir du 29/10/2017 ;
+Chypre du Nord reprend les règles de l’UE à partir du 29/10/2017 ;
 la Namibie basculera de + 01 à + 02 pour l’heure d’été toute l’année,
 affectant le décalage TU à partir du 01/04/2018 ;
 le Soudan basculera de + 03 à + 02 le 2017-11-01.
-le Tonga n’observera pas l’heure d’été le 05/11/2017 ;
-les îles Turques-et-Caïques basculeront de - 04 à - 05 toute l’année
+Tonga n’observera pas l’heure d’été le 05/11/2017 ;
+les îles Turks-et-Caïcos basculeront de - 04 à - 05 toute l’année
 avec l’heure d’été US, affectant le décalage TU à partir du 04/11/2018.
 
 
--- /home/jpg1/webwml/french/lts/security/2017/dla-1154.wml	2019-12-27 17:50:39.233703003 +0100
+++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1154jpg.wml	2020-01-01 09:35:54.090858360 +0100
@@ -17,7 +17,7 @@
 
 https://security-tracker.debian.org/tracker/CVE-2017-14314";>CVE-2017-14314
 
-Erreur due à un décalage d'entier dans la fonction DrawImage dans
+Une erreur due à un décalage d'entier dans la fonction DrawImage dans
 magick/render.c dans GraphicsMagick 1.3.26 permet à des attaquants distants de
 provoquer un déni de service (lecture hors limites de tampon basé sur le tas
 pour DrawDashPolygon et plantage d'application) à l'aide d'un fichier
--- /home/jpg1/webwml/french/lts/security/2017/dla-1152.wml	2019-12-27 17:50:39.233703003 +0100
+++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1152jpg.wml	2020-01-01 09:38:03.405228200 +0100
@@ -3,7 +3,7 @@
 
 Le démon bgpd dans la suite de routage Quagga ne calcule pas correctement la
 longueur de messages multi-segments AS_PATH UPDATE, faisant que bgpd abandonne
-une session et éventuellement aboutir à une perte de connectivité réseau.
+une session et éventuellement aboutit à une perte de connectivité réseau.
 
 Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans
 la version quagga_0.99.22.4-1+wheezy3+deb7u2.

Re: [RFR] wml://lts/security/2017/dla-112{0-9}.wml

[Jean-Pierre Giraud]

Bonjour,

Le 26/12/2019 à 11:15, JP Guillonneau a écrit :
> Bonjour,
>
> ces (anciennes) annonces de sécurité ont été publiées.
> Les fichiers sont aussi disponibles ici :
> https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-.wml
> https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-.wml
>
> Merci d’avance pour vos relectures.
>
> Amicalement.
>
> --
> Jean-Paul

Suggestions.

Amicalement,

jipege

--- /home/jpg1/webwml/french/lts/security/2017/dla-1122.wml	2019-12-27 17:50:39.233703003 +0100
+++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1122jpg.wml	2020-01-01 09:11:48.121645004 +0100
@@ -9,9 +9,9 @@
 externnotify exécutée par l’application de plan de numérotation
 MinivmNotify. L’application utilise le nom d’identifiant et le numéro d’appelant
 comme partie de la chaîne construite passée à l’interpréteur du système
-d’exploitation pour son interprétation et exécution. Puisque ceux-ci proviennent
-d’une source non fiable, un nom et numéro contrefaits permettaient une injection
-de commande arbitraire d’interpréteur.
+d’exploitation pour son interprétation et exécution. Un nom et numéro
+contrefaits, dans la mesure où ils peuvent provenir d'une source non fiable,
+permettaient une injection de commande arbitraire d’interpréteur.
 
 Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans
 la version 1:1.8.13.1~dfsg1-3+deb7u7.
--- /home/jpg1/webwml/french/lts/security/2017/dla-1120.wml	2019-12-27 17:50:39.233703003 +0100
+++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1120jpg.wml	2020-01-01 09:14:14.699632019 +0100
@@ -5,7 +5,7 @@
 de gestion de versions décentralisé, était sujette à une vulnérabilité d’injection
 de commande d’interpréteur due à un opérateur guillemet oblique de Perl.
 La sous-commande git-cvsserver était accessible à partir de la sous-commande
-git-shell même si la prise en charge de CVS n’était configurée (cependant
+git-shell même si la prise en charge de CVS n’était pas configurée (cependant
 le paquet git-cvs devait être installé).
 
 Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans