[ddr] webwml://security/2003/dsa-252,3,4.wml
Bonjour,
Voici quelques DSAs à relire.
Merci de vos relectures, Thomas.
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Un problème a été découvert dans <i>slocate</i>, un remplaçant sécurisé de
<i>locate</i>. Un dépassement de tampon dans le programme slocate appartenant
à <i>root</i> peut être utilisé pour exécuter n'importe quel code en tant
qu'un membre du groupe slocate. Ceci peut être utilisé pour altérer la base de
données slocate.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version 2.6-1.3.1.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) n'est pas concernée car
elle n'inclut pas slocate.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 2.7-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet slocate
immédiatement.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-252.data"
# $Id: dsa-252.wml,v 1.2 2003/02/21 21:01:47 joey Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Fuite d'information</define-tag>
<define-tag moreinfo>
<p>Une faille de sécurité a été découverte dans OpenSSL, une implémentation
de <i>Secure Socket Layer</i> (SSL). Dans un papier prochainement paru,
Brice Canvel (EPFL), Alain Hiltgen (UBS), Serge Vaudenay (EPFL) et Martin
Vuagnoux (EPFL,Ilion) décrivent et démontre une attaque basée sur une
synchronisation sur les suites cipher CBC utilisées dans SSL et TLS.
OpenSSL était vulnérable à cette attaque.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version 0.9.6c-2.woody.2.</p>
<p>Pour l'ancienne distribution stable (<i>Potato</i>), ce problème a été
corrigé dans la version 0.9.6c-0.potato.5. Veuillez noter que ceci
met à jour la version depuis <i>potato-proposed-updates</i> qui remplace la
version dans <i>Potato</i>.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 0.9.7a-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-253.data"
# $Id: dsa-253.wml,v 1.2 2003/03/05 09:29:46 alfie Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Une faille de sécurité a été découverte dans NANOG traceroute, une
version améliorée du programme traceroute de Van Jacobson/BSD. Un dépassement
de tampon a lieu dans la fonction <code>get_origin()</code>. Dû à des
vérifications insufficientes de limite réalisées par le parseur <i>whois</i>,
il peut corrompre la mémoire dans la pile système. Cette faille de sécurité
peut être exploité par un attaquant distant pour obtenir les privilèges
<i>root</i> sur la cible. Cependant, la plupart de machines Debian n'y
sont pas sensibles.</p>
<p>Le projet <i>Common Vulnerabilities and Exposures</i> (CVE)
a identifié aussi les failles de sécurité suivantes qui étaient déjà corrigées
dans les versions Debian stable (<i>Woody</i>) et anciennement stable
(<i>Potato</i>) et sont mentionnées ici pour être complet (et étant donné que
d'autes distributions ont produit une annonce separée) :</p>
<ul>
<li> CAN-2002-1364 (BugTraq ID 6166) parle d'un dépassement de tampon dans
la fonction <code>get_origin</code> qui permet à un attaquant d'exécuter
n'importe quel code via de longues réponses WHOIS ;</li>
<li> CAN-2002-1051 (BugTraq ID 4956) traite une faille de sécurité par format
de chaîne de caractères qui permet à des utilisateurs locaux d'exécuter
n'importe quel code via l'argument -T (terminator) dans la ligne de
commande ;</li>
<li> CAN-2002-1386 développe un dépassement de tampon que peut permettre à des
utilisateurs locaux d'exécuter n'importe quel code via un argument trop
long de nom de machine ;</li>
<li> CAN-2002-1387 explique le mode <i>spray</i> permet à des utilisateurs
locaux d'écraser n'importe quelle location mémoire.</li>
</ul>
<p>Heureusement, le paquet Debian rend ses privilèges assez tôt après le
démarrage. Ainsi, ces problèmes ne sont pas impactants pour une machine
d'exploitation Debian.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version 6.1.1-1.2.</p>
<p>Pour l'ancienne distribution stable (<i>Potato</i>), ce problème a été
corrigé dans la version 6.0-2.2.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 6.3.0-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet traceroute-nanog.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-254.data"
# $Id: dsa-254.wml,v 1.2 2003/02/27 16:21:53 kaare Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
Reply to: