DSAs relus
voila comme me l'a demandé Denis
l'ensemble des dsa non-commité à ce jour.
à bientôt,
--
Pierre Machard
<pmachard@tuxfamily.org> TuxFamily.org
<pmachard@techmag.net> techmag.net
+33 6 681 783 65 http://migus.tuxfamily.org/gpg.txt
GPG: 1024D/23706F87 : B906 A53F 84E0 49B6 6CF7 82C2 B3A0 2D66 2370 6F87
#use wml::debian::translation-check translation="1.1" maintainer="Pierre Machard <pmachard@tuxfamily.org>"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
Christophe Bailleux a rapporté sur <a href="http://www.securityfocus.com/archive/1/194473";>\
le suivi des bogues</a> que Xvt était vulnérable à un dépassement de tampon
dans la manipulation de ses arguments.
Puisque Xvt est installé avec un setuid root, il était possible à un
utilisateur normal de passer des arguments finement choisis à xvt pour
qu'il exécute un shell root.
<p>Ce problème a été résolu par le responsable du paquet dans la version 2.1-13
de xvt pour Debian unstable et 2.1-13.0potato.1 pour la version stable de
Debian GNU-Linux 2.2.
<p>Nous vous recommandons de mettre à jour votre paquet xvt immédiatement.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-082.data"
#use wml::debian::translation-check translation="1.2" maintainer="Pierre Machard <pmachard@tuxfamily.org>"
<define-tag description>Signal de terminaison non sécurisé</define-tag>
<define-tag moreinfo>
En utilisant des vieilles versions de procmail, on pouvrait faire planter
procmail en lui envoyant un signal.
Sur les système où procmail est installé avec le setuid, il est possible
d'utiliser cette faille pour obtenir des privilèges indus.
<p>Ce problème a été fixé dans la version 3.20 par le responsable du
paquet, inclus dans Debian unstable et rétroporté pour la
version 3.15.2 qui est disponible dans la version stable de Debian
GNU-Linux 2.2. .
<p>Nous vous recommandons de mettre à jour votre paquet procmail immédiatement.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-083.data"
#use wml::debian::translation-check translation="1.2" maintainer="Pierre Machard <pmachard@tuxfamily.org>"
<define-tag description>Récupération d'information</define-tag>
<define-tag moreinfo>
Stephane Gaudreault <a href="http://bugs.debian.org/97184";>nous a informé</a>
que la version 2.0.6a de gftp affiche les mots de passe en clair sur
l'écran, à l'intérieur de la fenêtre log, lorsque l'on se connecte à un
serveur ftp. Un collègue mal intentionné qui regarderait sur l'écran pourrait
ainsi obtenir l'accès au shell de l'utilisateur sur la machine distante.
<p>Ce problème a été résolu par l'équipe en charge de la sécurité dans la
version 2.0.6a-3.2 pour la version stable de GNU-Linux 2.2.
<p>Nous vous recommandons de mettre à jour votre paquet gftp.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-084.data"
#use wml::debian::translation-check translation="1.3" maintainer="Pierre Machard <pmachard@tuxfamily.org>"
<define-tag description>Connexion distante en root abusive</define-tag>
<define-tag moreinfo>
<p>Nous avons reçu l'alerte disant que la « faille du CRC-32, qui permet
de faire exécuter à SSH des commandes arbitraires (compensator attack) »
était largement exploitée. Il s'agit d'une erreur sur les entiers, du même
type que celle préalablement corrigée pour OpenSSH dans le DSA-027-1.
OpenSSH (le paquet Debian ssh) a été corrigé à ce moment là, mais
ssh-nonfree et ssh-socks ne l'avaient pas été.</p>
<p>Bien que les paquets de la partie non-free des archives ne soient pas
officiellement supportés par le projet Debian, nous avons pris
exceptionnellement la décision de publier une mise à jour des paquets
ssh-nonfree/ssh-socks pour les utilisateurs n'ayant pas encore migré vers
OpenSSH. Toutefois, nous recommandons à nos utilisateurs de migrer vers le
paquet, en accord avec les principes du logiciel libre selon Debian (DFSG)
«&nsbp;ssh »régulièrement supporté, aussitôt que possible.
ssh 1.2.3-9.3 est le paquet OpenSSH disponible dans Debian 2.2r4.</p>
<p>Les paquets corrigés de ssh-nonfree/ssh-socks sont disponibles dans la
version 1.2.27-6.2 pour Debian 2.2 (potato) et dans la
version 1.2.27-8 pour les distributions Debian unstable et testing.
Notez que le nouveau paquet ssh-nonfree/ssh-socks enlève le bit setuid
du binaire ssh, enlevant du fait l'authentification rhost-rsa. Si vous
avez besoin de cette fonctionnalité, exécutez</p>
<p><code>chmod u+s /usr/bin/ssh1</code></p>
<p>après avoir installé le nouveau paquet.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-086.data"
#use wml::debian::translation-check translation="1.1" maintainer="Pierre Machard <pmachard@tuxfamily.org>"
<define-tag description>Connexion distante en root abusive</define-tag>
<define-tag moreinfo>
L'équipe en charge de la sécurité signale qu'il est possible d'exploiter
un bogue du « glob code » de wu-ftpd (c'est le code qui fixe
les caractères d'extension des noms de fichiers).
Chaque utilisateur connecté (ceci inclut les utilisateurs connectés en anonyme
sur le FTP) peut exploiter ce bogue pour obtenir les droits de root sur le
serveur.
<p>Ce problème a été corrigé dans la version 2.6.0-6 du paquet wu-ftpd.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-087.data"
#use wml::debian::translation-check translation="1.1" maintainer="Pierre Machard <pmachard@tuxfamily.org>"
<define-tag description>Caractère d'échappement impropre</define-tag>
<define-tag moreinfo>
Le paquet fml (une liste de diffusion) tel qu'il est distribué dans Debian
GNU-Linux 2.2 souffre d'une faille qui touche les éléments dynamiques
(cross-site scripting). En générant la page d'index pour l'archivage des
listes, les caractères « < » et « > » n'étaient pas retranscrits
pour les sujets.
<p>Ce problème a été corrigé dans la version 3.0+beta.20000106-5,
et nous vous recommandons de mettre à jour votre paquet fml vers cette
version. La mise à jour regénérera automatiquement les pages d'index.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-088.data"
#use wml::debian::translation-check translation="1.1" maintainer="Pierre Machard <pmachard@tuxfamily.org>"
<define-tag description>Connexion distante en root abusive (et divers)</define-tag>
<define-tag moreinfo>
<p>Le paquet icecast-server (un serveur de diffusion musicale)
distribué dans Debian GNU-Linux 2.2 contient plusieurs problèmes
de sécurité :</p>
<ul>
<li>si un client ajoutait un / après le nom du fichier à télécharger,
le serveur plantait ;</li>
<li>en modifiant les points en %2E, il était possible de contourner
les règles de sécurité et de télécharger des fichiers arbitrairement ;</li>
<li>il y avait différents dépassements de tampons qui pouvaient être
exploités pour obtenir l'accès root.</i>
</ul>
<p>Ces problèmes ont été résolus dans la version 1.3.10-1, et nous
vous recommandons sérieusement de mettre à jour votre paquet icecast-server
immédiatement.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-089.data"
#use wml::debian::translation-check translation="1.3" maintainer="Pierre Machard <pmachard@tuxfamily.org>"
<define-tag description>Attaque par des liens symboliques</define-tag>
<define-tag moreinfo>
<p>Le paquet xtel (un émulateur de minitel pour X) qui est distribué avec
Debian GNU-Linux 2.2 peut potentiellement être la proie de deux attaques
au moyen de liens symboliques.
<ul>
<li>xteld crée un fichier temporaire <tt>/tmp/.xtel-<var><user></var></tt>
sans vérifier les liens symboliques.</li>
<li>En imprimant une copie sur le disque dur, xtel créera un ficher
temporaire sans se protéger contre une attaque sur les liens symboliques.</li>
</ul>
<p>Les deux problèmes ont été résolus dans la version 3.2.1-4.potato.1.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-090.data"
#use wml::debian::translation-check translation="1.2" maintainer="Pierre Machard <pmachard@tuxfamily.org>"
<define-tag description>Connexion influençable</define-tag>
<define-tag moreinfo>
Si la fonction « UseLogin » est activée dans ssh, des
utilisateurs locaux pourraient passer des variables d'environnement
(incluant des variables telles que LD_PRELOAD) au système durant
le processus de connexion. Ce problème a été résolu en ne copiant pas
l'environnement si UseLogin est activé.
<p>Veuillez noter que la configuration par défaut de Debian n'active
pas UseLogin.
<p>Ce problème a été résolu dans la version 1:1.2.3-9.4.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-091.data"
#use wml::debian::translation-check translation="1.1" maintainer="Pierre Machard <pmachard@tuxfamily.org>"
<define-tag description>Connexion locale en root abusive</define-tag>
<define-tag moreinfo>
Nicolas Boullis a trouvé un grave problème de sécurité dans le
paquet wmtv (un lecteur video4linux iconifiable (dockable) pour windowmaker)
distribué dans Debian GNU-Linux 2.2.
<p>wmtv peut éventuellement démarrer une commande un double cliquant
sur la fenêtre de la télévision. Cette commande peut être spécifiée
en utilisant l'option -e de la ligne de commande. Toutefois, wmtv étant
installé avec le suid root, cette commande était aussi exécutée en tant
que root, ce qui permettait aux utilisateurs locaux d'obtenir très facilement
l'accès root.
<p>Ce problème a été résolu dans la version 0.6.5-2potato1 en
enlevant les privilèges de root à l'exécution de la commande. Nous
vous recommandons de mettre votre paquet wmtv à niveau immédiatement.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-092.data"
Reply to: