Bonjour à tous,Bientôt la fin du retard des dsas sera plus qu'un souvenir. Enfin, on a le droit de rever.
Merci, Thomas.
<define-tag description>Manque d'initialisation du système aléatoire</define-tag> <define-tag moreinfo> <p>Les versions actuelles de l2tpd, un programme de tunnel client/serveur de couche 2, oubliaient d'initialiser le générateur aléatoire qu'il le rend vulnérable vu que tous les chiffres aléatoires sont 100 % prévisibles. When dealing with the size of the value in an attribute value pair, too many bytes were able to be copied, which could lead into the vendor field being overwritten.</p> <p>Ces problèmes sont réglés dans la version 0.67-1.1 pour la distribution stable (woody) et dans celle 0.68-1 pour la distribution instable (sid). L'ancienne distribution stable (potato) n'est pas affecté vu qu'elle ne contient pas ce paquet.</p> <p>Nous vous recommandons de mettre à jour vos paquets l2tpd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2002/dsa-152.data" # $Id: dsa-152.wml,v 1.1 2002/08/13 19:17:39 joey Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
Jason Molenda et Hiromitsu Takagi ont réussi à exploiter les bogues sur les éléments dynamiques dans mhonarc, un convertisseur de courriel en HTML. En traitant un message électronique conçu à dessein de type text/html, mhonarc ne désactive pas proprement tous les éléments dynamiques. Ceci est réparé dans le source originale dans la version 2.5.3.
Si vous êtes inquiet à propos de la sécurité, il est recommandé de désactiver la fonctionnalité pour les messages text/html dans vos archives. Il n'y a aucune garantie que la bibliothèque mhtxthtml.pl est assez robuste pour éliminer tout risque d'attaque via des données HTML.
Pour exclure les données au format HTML, vous pouvez utiliser la ressource MIMEEXCS. Par example :
<MIMEExcs> text/html text/x-html </MIMEExcs>
Le type text/x-html
n'est probablement plus utilisée désormais
mais il est bon de l'inclure tout de même, on ne sait jamais.
Si le contenu de vos messages n'apparaissent pas, vous pouvez faire ceci à la place :
<MIMEFilters> text/html; m2h_text_plain::filter; mhtxtplain.pl text/x-html; m2h_text_plain::filter; mhtxtplain.pl </MIMEFilters>
Ceci traite le format HTML comme du text/plain.
Les problèmes décrits ont été réglé dans la version 2.5.2-1.1 pour l'actuelle distribution stable (woody), dans celle 2.4.4-1.1 pour l'ancienne distribution stable (potato) et dans celle 2.5.11-1 pour la distribution instable (sid).
Nous vous recommandons de mettre à jour les paquets mhonarc.
Un problème avec les privilèges d'utilisateur a été découvert dans le paquet Mantis, un système traçage de bogue en PHP. Le système Mantis ne vérifie pas si l'utilisateur à le droit ou pas de regarder le bogue mais affiche directement si l'utilisateur connaît le numéro du bogue.
Un autre bogue dans Mantis permet à la page View Bugs de lister tous les bogues de projets publics et privés quand aucun project est accessible pour l'utilisateur demandeur.
Ces problèmes n'existent plus dans la version 0.17.1-2.5 pour l'actuelle distribution stable (woody) et dans celle 0.17.5-2 pour la distribution instable (sid). L'ancienne distribution stable (potato) n'est pas affecté car elle ne contient pas le paquet mantis.
Informations supplémentaires:
Nous vous recommandons de mettre à jour vos paquets mantis.
<define-tag description>Création non sécurisée de fichier temporaire</define-tag> <define-tag moreinfo> <p>Spybreak a découvert un problème dans scrollkeeper, un système libre pour gérer des catalogues de documentation. Le programme <code>scrollkeeper-get-cl</code> crée des fichiers temporaires avec des noms que l'on devinait dans /tmp. Vu que scrollkeeper est appelé automatiquement quand un utilisateur démarre une session Gnome, un attaquant avec un accès local peut facilement créer ou réécrire des fichiers avec le nom d'un autre utilisateur.</p> <p>Ce problème est réglé dans la version 0.3.6-3.1 pour l'actuelle distribution stable (woody) et dans celle 0.3.11-2 pour la distribution instable (sid). L'ancienne distribution stable (potato) n'est pas affecté vu qu'elle ne contient pas le paquet scrollkeeper.</p> <p>Nous vous recommandons de mettre à jour vos paquets scrollkeeper immédiatement.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2002/dsa-160.data" # $Id: dsa-160.wml,v 1.1 2002/09/03 13:15:50 joey Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"