Bonsoir, Merci à Guillaume pour ses relectures et désolé pour le délai. Merci de vos relectures, Thomas.
<define-tag description>Création non-sécurisée de fichiers temporaires</define-tag> <define-tag moreinfo> <p>Colin Phipps a découvert plusieurs problèmes dans <i>mime-support</i>, qui contient les programmes offrant les fonctionnalités pour le contrôle de fichiers MIME comme <i>mime.types</i> et <i>mailcap</i>. Quand un fichier temporaire doit être utilisé, il est créé de manière non-sécurisée, permettant à un attaquant d'écraser n'importe quel fichier avec l'identité de l'utilisateur utilisant <i>run-mailcap</i>. De plus, le programme ne protège pas correctement les caractères d'échappements shell quand on exécute une commande. Cependant, cette vulnérabilité semble difficilement exploitable.</p> <p>Pour la distribution stable (<i>Woody</i>), ces problèmes ont été corrigés dans la version 3.18-1.1.</p> <p>Pour l'ancienne distribution stable (<i>Potato</i>), ces problèmes ont été corrigés dans version 3.9-1.1.</p> <p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés dans la version 3.22-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mime-support.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2003/dsa-292.data" # $Id: dsa-292.wml,v 1.1 2003/04/24 18:46:03 pmachard Exp $ #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Exécution non-sécurisée</define-tag> <define-tag moreinfo> <p>L'équipe KDE a découvert une faille de sécurité dans la façon dont KDE utilise le logiciel <i>Ghostscript</i> pour lire les fichiers PostScript (PS) et PDF. Un attaquant pouvait fournir un fichier PostScript ou PDF par courriel ou par un site web. Il pourrait être conçu pour permettre d'exécuter n'importe quelle commande sous les privilèges de l'utilisateur visualisant le fichier ou quand le navigateur génère le listing du répertoire avec les mini-aperçus.</p> <p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 2.2.2-13.woody.7 de kdelibs et les paquets associés.</p> <p>L'ancienne distribution stable (<i>Potato</i>) n'est pas concernée étant donné qu'elle ne contient pas KDE.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème sera bientôt corrigé.</p> <p>Pour le rétroportage non officiel de KDE 3.1.1 à <i>Woody</i> par Ralf Nolden sur download.kde.org, ce problème a été corrigé dans la version 3.1.1-0woody3 de kdelibs. Pour obtenir le rétroportage normal, vous aurez à mettre cette ligne pour apt-get :</p> <p> deb http://download.kde.org/stable/latest/Debian stable main</p> <p>Nous vous recommandons de mettre à jour votre paquet kdelibs et les autres paquets associés.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2003/dsa-293.data" # $Id: dsa-293.wml,v 1.1 2003/04/24 18:46:03 pmachard Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Apostrophes manquantes et analyseur incomplet</define-tag> <define-tag moreinfo> <p>Brian Campbell a découvert deux problèmes de sécurité dans <i>gkrellm-newsticker</i>, un ajout logiciel pour le programme de supervision du système gkrellm, qui fournit un fil de nouvelles en se basant sur les fichiers RDF. Le projet <i>Common Vulnerabilities and Exposures</i> a identifié les problèmes suivants :</p> <dl> <dt><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0205";>CAN-2003-0205</a></dt> <dd> Il peut démarrer un navigateur web du choix de l'utilisateur quand le titre d'une nouvelle est sélectionné en utilisant l'URI donné par le fil RDF. Cependant, des caractères shell spéciaux ne sont pas protégés correctement, ce qui permet à un serveur de RDF malveillant d'exécuter n'importe quelle commande shell sur les machines clientes ;</dd> <dt><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0206";>CAN-2003-0206</a></dt> <dd> Il plante tout le système gkrellm si le titre ou le lien ne tient pas sur une seule ligne. Un serveur malveillant pouvait alors lancer un déni de service.</dd> </dl> <p>Pour la distribution stable (<i>Woody</i>), ces problèmes ont été corrigés dans la version 0.3-3.1</p> <p>L'ancienne distribution stable (<i>Potato</i>) n'est pas affectée étant donné qu'elle ne contient pas le paquet gkrellm-newsticker.</p> <p>Pour la distribution instable (<i>Sid</i>), ces problèmes ne sont pas encore corrigés.</p> <p>Nous vous recommandons de mettre à jour votre paquet gkrellm-newsticker.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2003/dsa-294.data" # $Id: dsa-294.wml,v 1.1 2003/04/24 18:46:03 pmachard Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
Attachment:
pgpVQvW8SuZUE.pgp
Description: PGP signature