[ddr] webwml:/security/2003/dsa-308,310.wml
Bonjour,
Voici la dernière DSA de parue + la modif pour la 308.
Merci de vos relectures, Thomas.
PS: Y a-t-il un commiteur qui lit cette liste en ce moment ?
<define-tag description>Exécution anormale en tant que <i>root</i></define-tag>
<define-tag moreinfo>
<p>XaoS, un programme pour afficher des images fractales, est installé avec
les droits de <i>root</i> sur certaines architectures pour utiliser svgalib,
qui demande un accès priviligié au matériel vidéo. Cependant, il n'est pas
conçu pour une exécution sécurisée et peut être exploité pour obtenir
les privilèges de <i>root</i>.</p>
<p>Dans ces paquets mis à jour, le bit <i>setuid</i> a été enlevé du binaire
xaos. Les utilisateurs qui ont besoin de la fonctionnalité de la svgalib
devront donner ces privilèges seulement à un certain groupe de confiance.</p>
<p>Cette faille de sécurité est exploitable dans la version 3.0-18
(<i>Potato</i>) sur les architectures i386 et alpha, et dans la
version 3.0-23 (<i>Woody</i>) sur l'architecture i386 seulement.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version 3.0-23woody1.</p>
<p>Pour l'ancienne distribution stable (<i>Potato</i>), ce problème a été
corrigé dans la version 3.0-18potato1.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans
la version 3.1r-4.</p>
<p>Nous vous recommandons de mettre à jour votre paquet xaos.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-310.data"
# $Id: dsa-310.wml,v 1.1 2003/06/09 07:42:34 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Fichiers temporaires non sécurisés</define-tag>
<define-tag moreinfo>
<p>Paul Szabo a découvert que znew, un script inclus dans le paquet gzip,
crée ses fichiers temporaires sans faire attention à une attaque par lien
symbolique (CAN-2003-0367).</p>
<p>Le script gzexe a une faille de sécurité similaire qui a été corrigée dans
une version antérieure mais cette modification a été inversée par
inadvertence.</p>
<p>Pour la distribution stable (<i>Woody</i>), ces deux problèmes ont été
corrigés dans la version 1.3.2-3woody1.</p>
<p>Pour l'ancienne distribution stable (<i>Potato</i>), CAN-2003-0367 a été
corrigé dans la version 1.2.4-33.2. Cette version n'est pas vulnérable à
CVE-1999-1332 grâce à l'ancienne modification.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème sera corrigé
bientôt.</p>
<p>Nous vous recommandons de mettre à jour votre paquet gzip.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-308.data"
# $Id: dsa-308.wml,v 1.1 2003/06/07 06:34:49 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
Reply to: