[ddr] webwml://security/2002/dsa-(148,149,150).wml

To: Debian FR <debian-l10n-french@lists.debian.org>
Subject: [ddr] webwml://security/2002/dsa-(148,149,150).wml
From: Thomas Marteau <marteaut@tuxfamily.org>
Date: Thu, 12 Sep 2002 13:35:53 +0200
Message-id: <[🔎] 3D807C19.8070406@tuxfamily.org>

Bonjour à tous,

Voila encore quelques dsa de retard...

Perso, je suis pas satisfait de la traduction de "an e-commerce andgeneral HTTP database display system" donc si vous avez une idée.


Merci et a plus, Thomas.

<define-tag description>Dépassements de tampon et formats de chaîne de caractères vulnérables</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans Hylafax, un logiciel 
client/serveur pratique pour le fax distribué dans de nombreuses
distributions GNU/Linux. Selon SecurityFocus, les problèmes en détail 
sont&nbsp;:</p>

<ul>
<li>Une vulnérabilité dans un format de chaîne de caractères permet aux 
   utilisateurs d'exécuter n'importe quel code sur certaines versions.
   À cause de ce manque de vérification des entrées, il est possible 
   de faire une attaque par format de chaîne de caractères. Cependant,
   ceci affecte les systèmes où <code>faxrm</code> et <code>faxalter</code>
   sont installés avec des permissions utilisateur. Par conséquent, 
   Debian n'est pas vulnérable.</li>

<li>Un dépassement de tampon a été rapporté dans Hylafax. La transmission 
   d'un fax conçu pour contenir une longue ligne à scanner peut déborder
   de l'espace mémoire alloué. Cette faiblesse peut avoir comme conséquence
   un déni de service ou même l'exécution arbitraire de code avec les 
   privilèges de super-utilisateur.</li>

<li>Un autre mauvais format a été trouvé dans <code>faxgetty</code>.
   Les fax entrants ont dans leur en-tête un identifiant de l'envoyeur 
   (<i>Transmitting Subscriber Identification</i> (TSI)), utilisé pour 
   identifier la machine émettrice. Hylafax utilise cette information 
   sans vérifier sa cohérence. Une donnée erronée peut planter le serveur,
   causant un déni de service.</li>

<li>Marcin Dawcewicz a rendu public une autre de ces vulnérabilités dans 
   <code>hfaxd</code>, qui le plante dans certains conditions. Mais 
   comme Debian n'installe pas <code>hfaxd</code> avec les privilèges de 
   <code>root</code>, ce problème n'est pas critique. Ceci a été réparé 
   par Darren Nickerson, qui était intégré dans les versions plus récentes 
   mais pas dans celle de <i>potato</i>.</li>
</ul>

<p>Ces problèmes sont réglés dans la version&nbsp;4.0.2-14.3 pour l'ancienne 
distribution stable (potato), dans celle&nbsp;4.1.1-1.1 pour l'actuelle
distribution stable (woody) et celle&nbsp;4.1.2-2.1 pour la 
distribution instable (sid).</p>

<p>Nous vous recommandons de mettre à jour vos paquets hylafax.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-148.data"
# $Id: dsa-148.wml,v 1.2 2002/08/12 18:49:16 peterk Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"

<define-tag description>Dépassement d'entier</define-tag>
<define-tag moreinfo>
<p>Un dépassement d'entier est présent dans la bibliothèque RPC utilisée 
par la GNU libc, qui est dérivée de la bibliothèque SunRPC. Ce bogue
peut être exploité pour avoir un accès <code>root</code> à tout logiciel 
lié à ce code. Les paquets ci-dessous règle aussi des dépassements d'entier 
contenus dans le code de <code>malloc</code>. Ils contiennent aussi une 
modification de Andreas Schwab pour réduire <code>linebuflen</code> en 
parallèle pour éviter au pointeur du tampon d'aller dans le code de 
NSS DNS.</p>

<p>Ce problème est réglé dans la version&nbsp;2.1.3-23 pour l'ancienne 
distribution stable (potato), dans celle&nbsp;2.2.5-11.1 pour l'actuelle 
distribution stable (woody) et celle&nbsp;2.2.5-13 pour la distribution 
instable (sid).</p>

<p>Nous vous recommandons de mettre à jour vos paquets libc6 immédiatement.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-149.data"
# $Id: dsa-149.wml,v 1.1 2002/08/13 08:23:23 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"

<define-tag description>Accès illégal aux fichiers</define-tag>
<define-tag moreinfo>
<p>Un problème a été découvert dans Interchange, un système d'affichage de 
base de données générale HTTP et d'e-commerce, qui permet à un attaquant de 
lire n'importe quel fichier lisible par le propriétaire du démon Interchange, 
si Interchange est dans le mode "INET mode" (<i>internet domain socket</i>). 
Ceci n'est pas le paramètre par défaut dans les paquets Debian mais il est 
modifiable via Debconf ou le fichier de configuration. Nous pensons donc que 
ce bogue n'est pas exploitable sur un système Debian classique.</p>

<p>Ce problème a été réparé par le responsable du paquet dans la 
version&nbsp;4.8.3.20020306-1.woody.1 pour l'actuelle distribution stable 
(woody) et celle&nbsp;4.8.6-1 pour la distribution instable (sid). L'ancienne
distribution stable (potato) n'est pas affecté, vu qu'Interchange n'y existe 
pas.</p>

<p>Nous vous recommandons de mettre à jour vos paquets interchange.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-150.data"
# $Id: dsa-150.wml,v 1.1 2002/08/13 18:19:42 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"

Reply to:

Prev by Date: [DDR] webwml://CD/artwork/index.wml
Next by Date: Debian WWW CVS commit by barbier: webwml/french/CD/artwork index.wml
Previous by thread: [DDR] webwml://CD/artwork/index.wml
Next by thread: Debian WWW CVS commit by barbier: webwml/french/CD/artwork index.wml
Index(es):
- Date
- Thread