Salut, Quelques annonces de sécurité ont été publiées, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Propriété de fichiers et nÅ?uds de périphérique modifiée au groupe kvm</define-tag> <define-tag moreinfo> <p> Bastian Blank a découvert que libvirtd, un démon pour gérer des machines, réseau et stockage virtuels, modifierait la propriété de fichiers de périphérique pour appartenir à l'utilisateur <q>libvirt-qemu</q> et au groupe <q>kvm</q>, qui est un groupe banalisé non spécifique à libvirt, permettant un accès en écriture à ces périphériques et fichiers au membres du groupe kvm. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.8.3-5+squeeze4.</p> <p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 0.9.12-11.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.9.12-11.</p> <p>Nous vous recommandons de mettre à jour vos paquets libvirt.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2650.data" # $Id: dsa-2650.wml,v 1.1 2013-03-16 02:20:14 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Nom de socket fixe dans un répertoire accessible en écriture à tous</define-tag> <define-tag moreinfo> <p> Stefan Bühler a découvert que le fichier de configuration spécifique à Debian pour le serveur web lighttpd avec prise en charge de PHP en FastCGI utilisait un nom de socket fixe dans le répertoire /tmp accessible en écriture à tous. Une attaque de lien symbolique une situation de compétition pourraient être exploitées par un utilisateur malveillant sur la même machine pour prendre le contrôle de la socket PHP et par exemple obliger le serveur web à utiliser une autre version de PHP. </p> <p> Puisque la correction est dans un fichier de configuration de /etc, la mise à jour ne sera pas forcée si le fichier à été modifié par l'administrateur. Dans ce cas, une attention particulière doit être portée pour appliquer vous-même la correction. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.4.28-2+squeeze1.3.</p> <p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 1.4.31-4.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.31-4.</p> <p>Nous vous recommandons de mettre à jour vos paquets lighttpd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2649.data" # $Id: dsa-2649.wml,v 1.1 2013-03-16 02:02:18 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans TYPO3, un système de gestion de contenu web. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1842";>CVE-2013-1842</a> <p> Helmut Hummel et Markus Opahle ont découvert que la couche de base de données Extbase ne vérifiait pas suffisamment l'entrée de l'utilisateur lors de l'utilisation du modèle d'objet Query. Cela peut conduire à une injection SQL par un utilisateur malveillant entrant des valeurs de relation contrefaites. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1843";>CVE-2013-1843</a> <p> Une validation d'entrée d'utilisateur manquante dans le mécanisme de suivi d'accès pourrait conduire à une redirection d'URL arbitraire. </p><p> Remarque : la correction cassera les liens déjà publiés. L'annonce amont <a href="http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2013-001/";>TYPO3-CORE-SA-2013-001</a> contient des renseignements sur des moyens de limiter cela. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4.3.9+dfsg1-1+squeeze8.</p> <p>Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 4.5.19+dfsg1-5.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.5.19+dfsg1-5.</p> <p>Nous vous recommandons de mettre à jour vos paquets typo3-src.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2646.data" # $Id: dsa-2646.wml,v 1.1 2013-03-16 01:29:22 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Dépassement de tampon</define-tag> <define-tag moreinfo> <p> Un dépassement de tampon a été découvert dans le serveur de base de données Firebird, ce qui pourrait avoir pour conséquence l'exécution de code arbitraire. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.1.3.18185-0.ds1-11+squeeze1.</p> <p>Pour la distribution testing (Wheezy), firebird2.1 sera supprimé au bénéfice de firebird2.5.</p> <p>Pour la distribution unstable (Sid), firebird2.1 sera supprimé au bénéfice de firebird2.5.</p> <p>Nous vous recommandons de mettre à jour vos paquets firebird2.1.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2647.data" # $Id: dsa-2647.wml,v 1.1 2013-03-15 23:22:33 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Un dépassement de tampon a été découvert dans le serveur de base de données Firebird, ce qui pourrait avoir pour conséquence l'exécution de code arbitraire. De plus, une vulnérabilité de déni de service a été découverte dans le TraceManager. </p> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.5.0.26054~ReleaseCandidate3.ds2-1+squeeze1.</p> <p>Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets firebird2.5.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2648.data" # $Id: dsa-2648.wml,v 1.1 2013-03-15 23:22:33 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature