[RFR] wml://lts/security/2020/dla-{1931,2053,2056}.wml
Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-.wml Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="9d8f695fa53faa431768a3453813ed28b2de9da9" maintainer="Jean-Paul Guillonneau" Mise à jour de régression pour LTS Le correctif pour lâattaque temporelle ECDSA dans la bibliothèque de chiffrement libgcrypt20 était incomplet. Merci à Albert Chin-A-Youngpour le signalement. https://security-tracker.debian.org/tracker/CVE-2019-13627";>CVE-2019-13627 Il existait une attaque temporelle ECDSA dans la bibliothèque de chiffrement libgcrypt20. Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.6.3-2+deb8u8. Nous vous recommandons de mettre à jour vos paquets libgcrypt20. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-1931.data" # $Id: $ #use wml::debian::translation-check translation="b0a5c59185a4d21906ee3882d8c9004e25c7b13d" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Le texte de la DLA est dans la référence. Pour Debian 8 Jessie, ce problème a été corrigé dans la version 3.3.18-1+deb8u12. Nous vous recommandons de mettre à jour vos paquets otrs2. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2053.data" # $Id: $ #use wml::debian::translation-check translation="8e8d2afbd226569371372239ff102b8c50b12f4e" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Il existait une vulnérabilité de dissimulation de requête HTTP dans waitress, un serveur WSGI entièrement en Python. https://security-tracker.debian.org/tracker/CVE-2019-16789";>CVE-2019-16789 Dans waitress jusquâà la version 1.4.0, si un serveur mandataire est utilisé devant waitress, une requête non valable peut être envoyée par un attaquant, contournant le frontal, et qui est analysée différemment par waitress, conduisant à une dissimulation potentielle de requête HTTP. Des requêtes spécialement contrefaites contenant des caractères dâespace particuliers dans lâen-tête Transfer-Encoding seront analysées par Waitress comme étant une requête « chunked », mais un serveur frontal utilisera lâen-tête Content-Length au lieu de Transfer-Encoding considéré comme non valable car contenant des caractères non valables. Si un serveur frontal réalise un pipeline HTTP vers un serveur dorsal waitress, cela pourrait conduire à un découpage de requête HTTP aboutissant à un empoisonnement potentiel du cache ou à une divulgation d'informations inattendues. Ce problème est corrigé dans waitress 1.4.1 à lâaide dâune validation plus stricte des champs HTTP. Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 0.8.9-2+deb8u1. Nous vous recommandons de mettre à jour vos paquets waitress. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2020/dla-2056.data" # $Id: $
Re: [RFR] wml://lts/security/2016/dla-54{0,1,2,3,4,5,6,6-2,7,8,9}.wml
Bonjour, détails. Amicalement. -- Jean-Paul --- dla-544.wml 2020-01-02 03:25:47.249156466 +0100 +++ - 2020-01-02 03:43:28.583846877 +0100 @@ -5,8 +5,8 @@ Le programme tcprewrite, un élément de la suite tcpreplay, ne vérifie pas la taille des trames qu'il traite. Des trames très grandes peuvent déclencher une erreur de segmentation, et ce type de trames survient -lors de la capture de paquets sur des interfaces un MTU de ou proche -de 65536. Par exemple, l'interface de boucle local lo du noyau Linux a une +lors de la capture de paquets sur des interfaces avec un MTU de ou proche +de 65536. Par exemple, l'interface de boucle locale lo du noyau Linux a une valeur de ce type. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la --- dla-545.wml 2020-01-02 03:25:47.249156466 +0100 +++ - 2020-01-02 03:36:41.534094503 +0100 @@ -3,7 +3,7 @@ Plusieurs problèmes de sécurité ont été identifiés et corrigés dans ICU, -la bibliothèque C et C++ « International Components for Unicode », dans +la bibliothèque C et C++ « International Components for Unicode », dans Debian Wheezy. --- dla-546.wml 2020-01-02 03:25:47.249156466 +0100 +++ - 2020-01-02 03:37:48.992728928 +0100 @@ -7,7 +7,7 @@ jour wheezy-lts vers la dernière version en ligne conforme à l'approche adoptée pour les autres versions de Debian. -Ces modifications ne sont pas strictement requises que clamav +Ces modifications ne sont pas strictement requises pour que clamav fonctionne, mais les utilisateurs des versions précédentes dans Wheezy peuvent ne pas pouvoir utiliser toutes les signatures de virus actuelles et pourraient recevoir des avertissements. --- dla-547.wml 2020-01-02 03:25:47.249156466 +0100 +++ - 2020-01-02 03:39:42.46385 +0100 @@ -1,7 +1,7 @@ #use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS -Il y avait deux vulnérabilité de déni de service dans graphicsmagick, +Il y avait deux vulnérabilités de déni de service dans graphicsmagick, une collection d'outils de traitement d'images : --- dla-548.wml 2020-01-02 03:25:47.249156466 +0100 +++ - 2020-01-02 03:40:43.968501862 +0100 @@ -7,7 +7,7 @@ Le module Overlay dans le noyau de Drupal affiche les pages d'administration comme une couche au-dessus de la page actuelle (en utilisant JavaScript) plutôt que de remplacer la page dans la fenêtre de -navigation. Le module validait pas suffisamment les URL avant d'afficher +navigation. Le module ne validait pas suffisamment les URL avant d'afficher leur contenu, menant à une vulnérabilité de redirection d'ouverture. Pour Debian 7 Wheezy, ce problème a été corrigé dans la
[RFR] wml://lts/security/2016/dla-54{0,1,2,3,4,5,6,6-2,7,8,9}.wml
Bonjour, quelques anciennes annonces de sécurité de plus. Les textes en anglais sont ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2016/dla-54x.wml Merci d'avance pour vos relectures. Amicalement, jipege #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS EventMachine, un moteur de réseau Ruby pourrait se planter en ouvrant un grand nombre de connexions parallèles (>= 1024) vers un serveur utilisant le moteur EventMachine. Le plantage se produit du fait de l'écrasement de la pile par les descripteurs de fichier. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.12.10-3+deb7u1. Nous vous recommandons de mettre à jour vos paquets ruby-eventmachine. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-549.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Il y avait une vulnérabilité de redirection d'ouverture dans drupal7, un environnement de gestion de contenu. Le module Overlay dans le noyau de Drupal affiche les pages d'administration comme une couche au-dessus de la page actuelle (en utilisant JavaScript) plutôt que de remplacer la page dans la fenêtre de navigation. Le module validait pas suffisamment les URL avant d'afficher leur contenu, menant à une vulnérabilité de redirection d'ouverture. Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 7.14-2+deb7u13 dans drupal7. Nous vous recommandons de mettre à jour vos paquets drupal7. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-548.data" # $Id: $ #use wml::debian::translation-check translation="ce41d997301872adfc27a79ea546429856226b67" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Il y avait deux vulnérabilité de déni de service dans graphicsmagick, une collection d'outils de traitement d'images : https://security-tracker.debian.org/tracker/CVE-2016-5240";>CVE-2016-5240 Déni de service évité en détectant et en rejetant des arguments « stroke-dasharray » négatifs qui provoquaient une boucle infinie. https://security-tracker.debian.org/tracker/CVE-2016-5241";>CVE-2016-5241 Correction d'un problème de division par zéro si une image de motif de remplissage ou de traits ne comportait aucune colonne ou ligne, pour éviter une attaque par déni de service. Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 1.3.16-1.1+deb7u3 de graphicsmagick. Nous vous recommandons de mettre à jour vos paquets graphicsmagick. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-574.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS La DLA 546-1 a été publiée de façon incorrecte avant que la mise à jour des paquets de clamav ne soit disponible et il s'ensuit des problèmes avec l'acceptation du paquet (qui a été depuis corrigé). Des mises à jour sont maintenant disponibles pour toutes les architectures prises en charge par LTS. Nous vous recommandons de mettre à jour vos paquets clamav. La version 0.99.2 a été publiée par l'amont. Cette actualisation met à jour wheezy-lts vers la dernière version en ligne conforme à l'approche adoptée pour les autres versions de Debian. Ces modifications ne sont pas strictement requises que clamav fonctionne, mais les utilisateurs des versions précédentes dans Wheezy peuvent ne pas pouvoir utiliser toutes les signatures de virus actuelles et pourraient recevoir des avertissements. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.99.2+dfsg-0+deb7u2. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.99.2+dfsg-0+deb7u2 de clamav. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-546-2.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Nous vous recommandons de mettre à jour vos paquets clamav. La version 0.99.2 a été publiée par l'amont. Cette actualisation met à jour wheezy-lts vers la dernière version en ligne conforme à l'approche adoptée pour les autres versions de Debian. Ces modifications ne sont pa
Re: [RFR] wml://vote/2019/vote_002_{quorum,majority,index,results,}.src
Bonjour et bonne année à tous, Le 29/12/2019 à 18:23, Jean-Pierre Giraud a écrit : > Une série de fichiers liés aux résultats du vote de la résolution générale. > > Merci d'avance pour vos relectures. > Le texte original est là : > https://salsa.debian.org/webmaster-team/webwml/blob/master/english/vote/2019/ Il y avait une petite coquille dans le fichier vote_002_index.src, « » était sur la même ligne que le « translation-check », je me suis permis de corriger directement sur Salsa. Bonne soirée, Alban signature.asc Description: OpenPGP digital signature
[RFR] wml://lts/security/2017/dla-106{0-9}.wml
Bonjour, ces (anciennes) annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-.wml Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS https://security-tracker.debian.org/tracker/CVE-2017-0663";>CVE-2017-0663 Une conversion non valable de différentes structures pourrait permettre à un attaquant dâexécuter à distance du code dans le contexte dâun processus non privilègié. https://security-tracker.debian.org/tracker/CVE-2017-7376";>CVE-2017-7376 Limite incorrecte utilisée pour des valeurs de port. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.8.0+dfsg1-7+wheezy9. Nous vous recommandons de mettre à jour vos paquets libxml2. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1060.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Jeriko One a découvert que newsbeuter, un lecteur de flux RSS en mode texte, ne protégeait pas correctement le titre et la description dâarticles de nouvelles lors de leurs mises en favori. Cela permettaient à un attaquant distant dâexécuter une commande arbitraire dâinterpréteur sur la machine cliente. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.5-2+deb7u2. Nous vous recommandons de mettre à jour vos paquets newsbeuter. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1061.data" # $Id: $ #use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS https://security-tracker.debian.org/tracker/CVE-2017-1000100";>CVE-2017-1000100 Le traitement incorrect de noms de fichier très longs lors de TFTP pourrait aboutir à ce que curl envoie plus quâune taille de tampon. Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 7.26.0-1+wheezy20. Nous vous recommandons de mettre à jour vos paquets curl. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1062.data" # $Id: $ #use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS https://security-tracker.debian.org/tracker/CVE-2017-12756";>CVE-2017-12756 Correction dâune injection de commande lors du transfert dâun autre serveur dans extplorer 2.1.9 et précédents permet à un attaquant dâinjecter des commandes à lâaide du paramètre userfile[0]. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.1.0b6+dfsg.3-4+deb7u5. Nous vous recommandons de mettre à jour vos paquets extplorer. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2017/dla-1063.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Guido Vranken a découvert que FreeRADIUS, une implémentation au code source ouvert de RADIUS, le protocole IETF pour AAA (Authorisation, Authentication, and Accounting), ne gérait pas correctement la mémoire lors du traitement de paquets. Cela pouvait permettre à un attaquant distant de provoquer un déni de service en plantant l'application, ou éventuellement dâexécuter du code arbitraire. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.1.12+dfsg-1.2+deb7u2. Nous vous rec
[RFR2] wml://lts/security/2017/dla-109{0-9}.wml
Bonjour, le mercredi 01 janvier 10:20, Jean-Pierre Giraud a écrit : >Suggestions. Merci Jean-Pierre, intégrées. Autre chance de commentaire. Amicalement. -- Jean-Paul
[RFR2] wml://lts/security/2017/dla-112{0-9}.wml
Bonjour, le mercredi 01 janvier 9:16, Jean-Pierre Giraud a écrit : >Suggestions. Merci Jean-Pierre, intégrées. dernière chance de commentaire. Amicalement. -- Jean-Paul
[LCFC2] wml://lts/security/2017/dla-115{0-9}.wml
Bonjour, le mercredi 01 janvier 9:44, Jean-Pierre Giraud a écrit : >Suggestions. Merci Jean-Pierre, intégrées. dernière chance de commentaire. Amicalement. -- Jean-Paul
[RFR] wml://lts/security/2019/dla-20{35,39,40,43,47,49,50,52,54}.wml
Bonjour, Ces annonces de sécurité ont été publiées. Les fichiers sont aussi disponibles ici : https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2019/dla-.wml https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2019/dla-.wml Merci d’avance pour vos relectures. Amicalement. -- Jean-Paul #use wml::debian::translation-check translation="758441add86589735f180baf3bb2919ec3beffcf" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Un problème a été découvert dans libpgf, une bibliothèque pour gérer PGF (Progressive Graphics File). Dû à un manque de validation de ColorTableSize, un problème dâutilisation de mémoire après libération peut apparaître dans Decoder.cpp Pour Debian 8 Jessie, ce problème a été corrigé dans la version 6.14.12-3+deb8u1. Nous vous recommandons de mettre à jour vos paquets libpgf. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2019/dla-2035.data" # $Id: $ #use wml::debian::translation-check translation="32dcaaef9ca75c0055c09cd8984ba5543ab7f3d3" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Deux problèmes ont été découverts dans libvorbis, a bibliothèque de décodage pour le codec générique de compression audio Vorbis. 2017-14633 Dans libvorbis 1.3.5 de Xiph.Org, une vulnérabilité de lecture de tableau hors limites existe dans la fonction mapping0_forward() dans mapping0.c, qui pourrait conduire à un déni de service lors dâune opération avec vorbis_analysis() sur un fichier audio contrefait . 2017-11333 La fonction vorbis_analysis_wrote dans lib/block.c dans libvorbis 1.3.5 de Xiph.Org permet à des attaquants distants de provoquer un déni de service (OOM) à l'aide d'un fichier wav contrefait. Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.3.4-2+deb8u3. Nous vous recommandons de mettre à jour vos paquets libvorbis. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2019/dla-2039.data" # $Id: $ #use wml::debian::translation-check translation="a5052b478d6cf6fad4216272849b05b9ab359236" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Un problème a été découvert dans harfbuzz, un moteur d'agencement de texte OpenType. Dû à une lecture excessive de tampon, des attaquants distants peuvent provoquer un déni de service ou éventuellement dâautres impacts à lâaide de données contrefaites. Pour Debian 8 Jessie, ce problème a été corrigé dans la version 0.9.35-2+deb8u1. Nous vous recommandons de mettre à jour vos paquets harfbuzz. Plus dâinformations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify lea following line #include "$(ENGLISHDIR)/lts/security/2019/dla-2040.data" # $Id: $ #use wml::debian::translation-check translation="1e848ced6f2d3ce80d48475db316adbb7b8824f1" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS Plusieurs problèmes dans gdk-pixbuf, une bibliothèque de gestion de pixbuf, ont été découverts. https://security-tracker.debian.org/tracker/CVE-2016-6352";>CVE-2016-6352 Correction pour un déni de service (écriture hors limites et plantage) à lâaide de dimensions contrefaites dans un fichier ICO. https://security-tracker.debian.org/tracker/CVE-2017-2870";>CVE-2017-2870 Correction pour une vulnérabilité exploitable de dépassement dâentier dans la fonction tiff_image_parse. Lorsque du logiciel est compilé avec clang, un fichier tiff contrefait spécialement peut provoquer un dépassement de tas aboutissant à une exécution de code à distance. Le paquet Debian est compilé avec gcc et nâest pas touché, mais probablement quelque aval lâest. https://security-tracker.debian.org/tracker/CVE-2017-6312";>CVE-2017-6312 Correction pour un dépassement d'entier dans io-ico.c, qui permet à des attaquants de provoquer un déni de service (erreur de segmentation et plantage d'application) à l'aide d'une image contrefaite. https://security-tracker.debian.org/tracker/CVE-2017-6313";>CVE-2017-6313 Correction pour un dépassement d'entier par le bas dans la fonction load_resources dans io-icns.c, qui permet des attaquants de provoquer un déni de
[RFR2] wml://lts/security/2016/dla-53{0,1,2,3,4,5,6,7,8,9}.wml
Bonjour, Le 01/01/2020 à 10:01, JP Guillonneau a écrit : > Bonjour, > > suggestions. > > Amicalement. > > -- > Jean-Paul Suggestions reprises. De nouvelles relectures ? Amicalement, jipege #use wml::debian::translation-check translation="c8457a59a89d51637f9c29eabc2b64c8a52130b6" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Un vulnérabilité a été découverte dans SPICE, le « Simple Protocol for Independent Computing Environments ». Frediano Ziglio de Red Hat a découvert que SPICE permettait aux utilisateurs d'un système d'exploitation client local de lire à partir de ou d'écrire vers des emplacements arbitraires de la mémoire de l'hôte au moyen de paramètres primaires de surface contrefaits. Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 0.11.0-1+deb7u3. Nous vous recommandons de mettre à jour vos paquets spice. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-531.data" # $Id: $ #use wml::debian::translation-check translation="16a228d71674819599fa1d0027d1603056286470" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS https://security-tracker.debian.org/tracker/CVE-2016-5093";>CVE-2016-5093 L'absence de caractère null provoque une longueur de zend_string inattendue et une fuite mémoire de tas. Le script de test utilise locale_get_primary_language pour accéder à get_icu_value_internal mais il y a quelques autres fonctions qui déclenchent aussi ce problème : locale_canonicalize, locale_filter_matches, locale_lookup, locale_parse https://security-tracker.debian.org/tracker/CVE-2016-5094";>CVE-2016-5094 pas de création de chaînes avec des longueurs en dehors de l'intervalle des entiers https://security-tracker.debian.org/tracker/CVE-2016-5095";>CVE-2016-5095 similaire au https://security-tracker.debian.org/tracker/CVE-2016-5094";>CVE-2016-5094 pas de création de chaînes avec des longueurs en dehors de l'intervalle des entiers https://security-tracker.debian.org/tracker/CVE-2016-5096";>CVE-2016-5096 confusion int/size_t dans fread CVE-TEMP-bug-70661 bogue nº 70661: vulnérabilité d’utilisation de mémoire après libération dans la désérialisation de paquet de WDDX CVE-TEMP-bug-70728 bogue nº 70728 : vulnérabilité de confusion de type dans PHP_to_XMLRPC_worker() CVE-TEMP-bug-70741 bogue nº 70741 : vulnérabilité de confusion de type dans la désérialisation de paquet de session WDDX CVE-TEMP-bug-70480-raw bogue nº 70480 : dépassement de tampon en lecture dans php_url_parse_ex() Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 5.4.45-0+deb7u4. Nous vous recommandons de mettre à jour vos paquets php5. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-533.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Dans une redirection de serveur d'une ressource HTTP vers une ressource FTP, wget devait faire confiance au serveur HTTP et utilise le nom dans l'URL redirigée comme nom de fichier de destination. Ce comportement a changé et, maintenant, il fonctionne de la même manière qu'une redirection d'une ressource HTTP à une autre ressource HTTP, donc le nom original est utilisé comme fichier de destination. Pour conserver le comportement précédent l'utilisateur doit fournir des --trust-server-names. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.13.4-3+deb7u3. Nous vous recommandons de mettre à jour vos paquets wget. Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS. # do not modify the following line #include "$(ENGLISHDIR)/lts/security/2016/dla-536.data" # $Id: $ #use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Jean-Pierre Giraud" Mise à jour de sécurité pour LTS Roundcube, une solution web de messagerie pour les serveurs IMAP, était vulnérable à des vulnérabilités de script intersite (XSS) lors du traitement d'images SVG. Lors d'un clic droit sur le lien de téléchargement d'une image attachée, il était possible que du Javascript incorporé puisse être exécuté dans un onglet distinct. La mise à jour désactive l'affichage d'images SVG dans les courriels et les onglets. Le téléchargement
Re: [RFR] wml://lts/security/2017/dla-109{0-9}.wml
Bonjour, Le 30/12/2019 à 10:54, JP Guillonneau a écrit : > Bonjour, > > ces (anciennes) annonces de sécurité ont été publiées. > Les fichiers sont aussi disponibles ici : > https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-.wml > https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-.wml > > Merci d’avance pour vos relectures. > > Amicalement. > > -- > Jean-Paul Suggestions. Amicalement, jipege --- /home/jpg1/webwml/french/lts/security/2017/dla-1098.wml 2019-12-30 12:29:48.353016164 +0100 +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1098jpg.wml 2020-01-01 10:12:59.166211258 +0100 @@ -2,7 +2,7 @@ Mise à jour de sécurité pour LTS -L’équipe Cisco Talos a signalé deux problèmes sensibles de sécurité affectant +L’équipe Cisco Talos a signalé deux problèmes de sécurité sensibles affectant FreeXL-1.0.3 et n’importe quelles versions précédentes. @@ -10,7 +10,7 @@ https://security-tracker.debian.org/tracker/CVE-2017-2923";>CVE-2017-2923 Une vulnérabilité exploitable de dépassement de tampon basé sur le tas existe -dans la fonction read_biff_next_record de FreeXL 1.0.3. A fichier XLS contrefait +dans la fonction read_biff_next_record de FreeXL 1.0.3. Un fichier XLS contrefait spécialement peut causer une corruption de mémoire aboutissant à une exécution de code à distance. Un attaquant peut envoyer un fichier XLS malveillant pour déclencher cette vulnérabilité. @@ -21,7 +21,7 @@ dans la fonction read_legacy_biff de FreeXL 1.0.3. Un fichier XLS contrefait spécialement peut causer une corruption de mémoire aboutissant à une exécution de code à distance. Un attaquant peut envoyer un fichier XLS malveillant pour - déclencher cette vulnérabilité. +déclencher cette vulnérabilité. --- /home/jpg1/webwml/french/lts/security/2017/dla-1099.wml 2019-12-30 12:29:48.353016164 +0100 +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1099jpg.wml 2020-01-01 10:14:25.924614350 +0100 @@ -18,7 +18,7 @@ Une vulnérabilité de dépassement d’entier dans la fonction ip6_find_1stfragopt() a été découverte permettant à un attaquant local avec -privilèges d’ouvrir des sockets brutes de provoquer un déni de service. +privilèges d’ouvrir des sockets brutes pour provoquer un déni de service. https://security-tracker.debian.org/tracker/CVE-2017-7889";>CVE-2017-7889 @@ -128,7 +128,7 @@ capacité CAP_NET_RAW peuvent utiliser cela pour un déni de service ou éventuellement pour exécuter du code arbitraire. -https://security-tracker.debian.org/tracker/CVE-2017-1000251";>CVE-2017-1000251 / #875881 +https://security-tracker.debian.org/tracker/CVE-2017-1000251";>CVE-2017-1000251 / nº 875881 Armis Labs a découvert que le sous-système Bluetooth ne validait pas correctement les réponses de configuration L2CAP, menant à un dépassement de @@ -139,8 +139,8 @@ https://security-tracker.debian.org/tracker/CVE-2017-1000363";>CVE-2017-1000363 -Roee Hay a signalé that lea lp driver does not correctement bounds-check -passed arguments. This has no security impact dans Debian. +Roee Hay a signalé que le pilote lp ne vérifie pas correctement les limites +des arguments passés. Cela n'a pas d'impact de sécurité impact dans Debian. https://security-tracker.debian.org/tracker/CVE-2017-1000365";>CVE-2017-1000365
Re: [RFR] wml://lts/security/2016/dla-53{0,1,2,3,4,5,6,7,8,9}.wml
Bonjour, suggestions. Amicalement. -- Jean-Paul --- dla-531.wml 2020-01-01 09:29:55.140518363 +0100 +++ - 2020-01-01 09:37:58.811086360 +0100 @@ -5,7 +5,7 @@ Independent Computing Environments ». Frediano Ziglio de Red Hat a découvert que SPICE permettait aux -utilisateurs d'un système d'exploitation client local de lire à partir de +utilisateurs d'un système d'exploitation client local de lire à partir de ou d'écrire vers des emplacements arbitraires de la mémoire de l'hôte au moyen de paramètres primaires de surface contrefaits. --- dla-533.wml 2020-01-01 09:29:55.140518363 +0100 +++ - 2020-01-01 09:42:26.803990919 +0100 @@ -8,7 +8,7 @@ L'absence de caractère null provoque une longueur de zend_string inattendue et une fuite mémoire de tas. Le script de test utilise locale_get_primary_language pour accéder à get_icu_value_internal mais il y -a quelques autres fonctions qui déclenche aussi ce problème : +a quelques autres fonctions qui déclenchent aussi ce problème : locale_canonicalize, locale_filter_matches, locale_lookup, locale_parse @@ -29,7 +29,7 @@ CVE-TEMP-bug-70661 -bogue nº 70661: vunérabilité dâutilisation de mémoire après libération +bogue nº 70661: vulnérabilité dâutilisation de mémoire après libération dans la désérialisation de paquet de WDDX CVE-TEMP-bug-70728 --- dla-536.wml 2020-01-01 09:29:55.144518373 +0100 +++ - 2020-01-01 09:46:14.565295152 +0100 @@ -2,7 +2,7 @@ Mise à jour de sécurité pour LTS Dans une redirection de serveur d'une ressource HTTP vers une ressource -FTP, wget devrait faire confiance au serveur HTTP et utilise le nom dans +FTP, wget devait faire confiance au serveur HTTP et utiliser le nom dans l'URL redirigée comme nom de fichier de destination. Ce comportement a changé et, maintenant, il fonctionne de la même manière qu'une redirection d'une ressource HTTP à une autre ressource HTTP, donc le nom original est --- dla-537.wml 2020-01-01 09:29:55.144518373 +0100 +++ - 2020-01-01 09:57:49.555798767 +0100 @@ -2,13 +2,13 @@ Mise à jour de sécurité pour LTS Roundcube, une solution web de messagerie pour les serveurs IMAP, était -vulnérables à des vulnérabilités de script intersite (XSS) lors du +vulnérable à des vulnérabilités de script intersite (XSS) lors du traitement d'images SVG. Lors d'un clic droit sur le lien de téléchargement d'une image attachée, il était possible que du Javascript incorporé -pourrait être exécuté dans un onglet distinct. +puisse être exécuté dans un onglet distinct. La mise à jour désactive l'affichage d'images SVG dans les courriels et -les onglet. Le téléchargement des pièces jointes est toujour possible. +les onglets. Le téléchargement des pièces jointes est toujours possible. Cette mise à jour de sécurité atténue aussi d'autres manières d'exploiter ce problème dans les images SVG. (https://security-tracker.debian.org/tracker/CVE-2016-4068";>CVE-2016-4068)
Re: [LCFC] wml://lts/security/2017/dla-115{0-9}.wml
Bonjour, Le 28/12/2019 à 12:50, JP Guillonneau a écrit : > Bonjour, > > dernière chance de commentaire. > > Amicalement. > > -- > Jean-Paul > Suggestions. Amicalement, jipege --- /home/jpg1/webwml/french/lts/security/2017/dla-1159.wml 2019-12-27 17:50:39.233703003 +0100 +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1159jpg.wml 2020-01-01 09:19:51.383156726 +0100 @@ -1,8 +1,8 @@ #use wml::debian::translation-check translation="bc8feadbbc686ad5f9ceb695925a329dea1622c0" maintainer="Jean-Paul Guillonneau" Mise à jour de sécurité pour LTS -Maor Shwartz, Jeremy Heng et Terry Chia ont découvert deux vulnérabilité de -sécurité dans Graphicsmagick, une collection d’outils de traitement. +Maor Shwartz, Jeremy Heng et Terry Chia ont découvert deux vulnérabilités de +sécurité dans Graphicsmagick, une collection d’outils de traitement d'image. --- /home/jpg1/webwml/french/lts/security/2017/dla-1155.wml 2019-12-27 17:50:39.233703003 +0100 +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1155jpg.wml 2020-01-01 09:34:03.984248399 +0100 @@ -5,12 +5,12 @@ notables sont : -la Chypre du Nord reprend les règles de l’UE à partir du 29/10/2017 ; +Chypre du Nord reprend les règles de l’UE à partir du 29/10/2017 ; la Namibie basculera de + 01 à + 02 pour l’heure d’été toute l’année, affectant le décalage TU à partir du 01/04/2018 ; le Soudan basculera de + 03 à + 02 le 2017-11-01. -le Tonga n’observera pas l’heure d’été le 05/11/2017 ; -les îles Turques-et-Caïques basculeront de - 04 à - 05 toute l’année +Tonga n’observera pas l’heure d’été le 05/11/2017 ; +les îles Turks-et-Caïcos basculeront de - 04 à - 05 toute l’année avec l’heure d’été US, affectant le décalage TU à partir du 04/11/2018. --- /home/jpg1/webwml/french/lts/security/2017/dla-1154.wml 2019-12-27 17:50:39.233703003 +0100 +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1154jpg.wml 2020-01-01 09:35:54.090858360 +0100 @@ -17,7 +17,7 @@ https://security-tracker.debian.org/tracker/CVE-2017-14314";>CVE-2017-14314 -Erreur due à un décalage d'entier dans la fonction DrawImage dans +Une erreur due à un décalage d'entier dans la fonction DrawImage dans magick/render.c dans GraphicsMagick 1.3.26 permet à des attaquants distants de provoquer un déni de service (lecture hors limites de tampon basé sur le tas pour DrawDashPolygon et plantage d'application) à l'aide d'un fichier --- /home/jpg1/webwml/french/lts/security/2017/dla-1152.wml 2019-12-27 17:50:39.233703003 +0100 +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1152jpg.wml 2020-01-01 09:38:03.405228200 +0100 @@ -3,7 +3,7 @@ Le démon bgpd dans la suite de routage Quagga ne calcule pas correctement la longueur de messages multi-segments AS_PATH UPDATE, faisant que bgpd abandonne -une session et éventuellement aboutir à une perte de connectivité réseau. +une session et éventuellement aboutit à une perte de connectivité réseau. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version quagga_0.99.22.4-1+wheezy3+deb7u2.
Re: [RFR] wml://lts/security/2017/dla-112{0-9}.wml
Bonjour, Le 26/12/2019 à 11:15, JP Guillonneau a écrit : > Bonjour, > > ces (anciennes) annonces de sécurité ont été publiées. > Les fichiers sont aussi disponibles ici : > https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2017/dla-.wml > https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2017/dla-.wml > > Merci d’avance pour vos relectures. > > Amicalement. > > -- > Jean-Paul Suggestions. Amicalement, jipege --- /home/jpg1/webwml/french/lts/security/2017/dla-1122.wml 2019-12-27 17:50:39.233703003 +0100 +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1122jpg.wml 2020-01-01 09:11:48.121645004 +0100 @@ -9,9 +9,9 @@ externnotify exécutée par l’application de plan de numérotation MinivmNotify. L’application utilise le nom d’identifiant et le numéro d’appelant comme partie de la chaîne construite passée à l’interpréteur du système -d’exploitation pour son interprétation et exécution. Puisque ceux-ci proviennent -d’une source non fiable, un nom et numéro contrefaits permettaient une injection -de commande arbitraire d’interpréteur. +d’exploitation pour son interprétation et exécution. Un nom et numéro +contrefaits, dans la mesure où ils peuvent provenir d'une source non fiable, +permettaient une injection de commande arbitraire d’interpréteur. Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1:1.8.13.1~dfsg1-3+deb7u7. --- /home/jpg1/webwml/french/lts/security/2017/dla-1120.wml 2019-12-27 17:50:39.233703003 +0100 +++ /home/jpg1/Documents/traductions/l10n/dsa_translator/dla-1120jpg.wml 2020-01-01 09:14:14.699632019 +0100 @@ -5,7 +5,7 @@ de gestion de versions décentralisé, était sujette à une vulnérabilité d’injection de commande d’interpréteur due à un opérateur guillemet oblique de Perl. La sous-commande git-cvsserver était accessible à partir de la sous-commande -git-shell même si la prise en charge de CVS n’était configurée (cependant +git-shell même si la prise en charge de CVS n’était pas configurée (cependant le paquet git-cvs devait être installé). Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans