[DDR] webwml://security/2003/dsa-247.wml,dsa-248.wml
Bonsoir à tous,
Voici les nouvelles DSAs.
Merci de vos relectures, Thomas.
<define-tag description>Manque de vérification des entrées</define-tag>
<define-tag moreinfo>
<p>Les développeurs de <i>courier</i>, un serveur de courrier électronique
integré pour l'utilisateur, ont découvert un problème dans le module
d'authentification de PostgreSQL. Certains caractères potentiellement
dangereux passaient directement avant le nom de l'utilisateur au moteur
PostgreSQL. Un attaquant pouvait injecter des commandes et des requêtes
SQL arbitraires pour exploiter cette faille de sécurité. Le module
d'authentification de MySQL n'est pas affecté.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version 0.37.3-3.3.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) ne contient pas le paquet
courier.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 0.40.2-3.</p>
<p>Nous recommandons de mettre à jour votre paquet courier-authpostgresql.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-247.data"
# $Id: dsa-247.wml,v 1.1 2003/01/30 14:46:17 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Dépassements de tampon</define-tag>
<define-tag moreinfo>
<p>Ulf Härnhammar a découvert deux problèmes dans hypermail, un programme pour
créer des archives HTML de listes de diffusion.</p>
<p>Un attaquant peut créer un long nom de fichier pour un attachement
que fera dépasser deux tampons quand une certaine option
pour une utilisation interactive lui est donnée, donnant l'opportunité
à une exécution de code arbitraire. Ce code sera exécuté sous l'identité
de l'utilisateur qui fait tourner hypermail, surement un utilisateur local.
L'utilisation automatique et silencieuse de hypermail ne semble pas
affectée.</p>
<p>Le programme CGI de courrier, qui n'est pas installé par le paquet Debian,
fait un résolution inverse de l'adresse IP de l'utilisateur et copie le nom
d'hôte dans un champ de taille fixe. Une réponse DNS conçue à dessein pourrait
faire dépasser ce tampon, permettant une exploitation du programme.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version 2.1.3-2.0.</p>
<p>Pour l'ancienne distribution stable (<i>Potato</i>), ce problème a été
corrigé dans la version 2.0b25-1.1.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 2.1.6-1.</p>
<p>Nous recommandons de mettre à jour votre paquet hypermail.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-248.data"
# $Id: dsa-248.wml,v 1.2 2003/01/31 15:08:05 peterk Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
Reply to: