[DDR] webwml://security/2003/dsa-232.wml
Bonjour à tous,
Voic la dernière dsa.
Merci de vos relectures, Thomas.
<define-tag description>Plusieurs failles</define-tag>
<define-tag moreinfo>
<p>Plusieurs <a href="http://www.idefense.com/advisory/12.19.02.txt";>\
failles de sécurité</a> ont été decouvertes dans le système commun d'Unix
d'impression <i>Common Unix Printing System (CUPS)</i>. Certains de
ces problèmes représentent un risque potentiel de compromission à distance
ou un déni de service. Le projet <i>Common Vulnerabilities
and Exposures</i> identifie les points suivants :</p>
<ul>
<li> <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1383";>\
CAN-2002-1383</a> : Plusieurs débordements d'entier permettent à un
attaquant à distance d'exécuter n'importe quel code via l'interface HTTP de
CUPSd et le code gérant les images dans les filtres CUPS ;</li>
<li> <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1366";>\
CAN-2002-1366</a> : Des conditions concurrentes liées à
<code>/etc/cups/certs/</code> permettent aux utilisateurs locaux
avec les privilèges de <i>lp</i> de créer ou d'écraser n'importe quel
fichier. Ceci n'est pas vrai pour la version de <i>Potato</i> ;</li>
<li> <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1367";>\
CAN-2002-1367</a> : Cette faille permet à un attaquant distant
d'ajouter des imprimantes sans authentification par le biais de paquet UDP
qui peut être utilisé pour réaliser certaines activités interdites comme
le vol du certificat du <i>root</i> local pour le serveur d'administration
par la page « need authorization » ;</li>
<li> <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1368";>\
CAN-2002-1368</a> : Des tailles négatives de champs à copier par
<code>memcpy()</code> peuvent causer un déni de service et probablement
permettre d'exécuter n'importe quel code ;</li>
<li> <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1369";>\
CAN-2002-1369</a> : Un appel dangereux à la fonction
<code>strncat()</code> par la chaîne de caracères d'option permet
à un attaquant distant d'exécuter n'importe quel code via un
dépassement de tampon ;</li>
<li> <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1371";>\
CAN-2002-1371</a> : Des images de taille nulle permettent à un
attaquant distant d'exécuter n'importe quel code via des en-têtes de
section modifiés ;</li>
<li> <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1372";>\
CAN-2002-1372</a> : CUPS ne vérifie pas correctement les valeurs de
retour de diverses opérations sur les fichiers et les sockets, ce qui
permet à un attaquant distant de causer un déni de service ;</li>
<li> <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1384";>\
CAN-2002-1384</a> : Le paquet cupsys contient des parties de code
de <i>xpdf</i>, utilisé pour convertir les fichiers PDF pour l'impression.
Il contient un bogue de débordement d'entier exploitable. Ceci n'est pas
vrai pour la version de <i>Potato</i>.</li>
</ul>
<p>Même si nous avons essayé durement de corriger tous ces problèmes dans
les paquets de <i>Potato</i> aussi, il est possible que des soucis de
sécurité persistent. Ainsi, nous conseillons aux utilisateurs de
<i>Potato</i> de passer à <i>Woody</i> le plus vite possible.</p>
<p>Pour l'actuelle distribution stable (<i>Woody</i>), ces problèmes ont
été corrigés dans la version 1.1.14-4.3.</p>
<p>Pour l'ancienne distribution stable (<i>Potato</i>), ces problèmes ont
été corrigés dans la version 1.0.4-12.1.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont
été corrigés dans la version 1.1.18-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets CUPS immédiatement.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-232.data"
# $Id: dsa-232.wml,v 1.2 2003/01/20 17:16:41 danish Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
Reply to: