[Relu] webwml://security/2004/dsa-{406,407,409,411,415}.wml

To: debian-l10n-french@lists.debian.org
Subject: [Relu] webwml://security/2004/dsa-{406,407,409,411,415}.wml
From: Clément Stenac <zorglub@via.ecp.fr>
Date: Mon, 12 Jan 2004 14:27:01 +0100
Message-id: <[🔎] 20040112132701.GA14939@via.ecp.fr>

Bonjour,

Relecture des DSA de la semaine derniere. Merci a Claude, Olivier,
Nicolas et Thomas pour leurs relectures

-- 
Zorglub
Clément Stenac

#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"

<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>

<p>Ulf Harnhammar a découvert un dépassement de tampon dans <i>lftp</i>,
un ensemble de clients FTP/HTTP sophistiqués en ligne de commande. Un
attaquant pourrait créer, sur un site web, un répertoire spécialement
conçu pour que l'exécution de «&nbsp;ls&nbsp;» ou «&nbsp;rels&nbsp;»
conduise à l'exécution de n'importe quel code sur la machine
cliente.</p>

<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version&nbsp;2.4.9-1woody2.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé 
dans la version&nbsp;2.6.10-1.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-406.data"
# $Id: dsa-406.wml,v 1.1 2004/01/05 06:49:18 joey Exp $

#use wml::debian::translation-check translation="1.1" maintainer="DFS
Task Force"

<define-tag description>Dépassements de tampon</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes par les auteurs
d'<i>ethereal</i>, un analyseur de traffic réseau. Le projet <i>Common
Vulnerabilites and Exposures</i> a identifié les problèmes
suivants&nbsp;:</p>

<ul>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0925";>CAN-2003-0925</a>

<p>Un dépassement de tampon permet à des attaquants distants de causer
   un déni de service, et potentiellement d'exécuter n'importe quel code
   par l'intermédiaire d'une chaîne GTP MSISDN malformée&nbsp;;</p>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0926";>CAN-2003-0926</a>

<p>A l'aide de certains paquets ISAKMP ou MEGACO, des attaquants distants
   peuvent causer un déni de service (plantage)&nbsp;;</p>


<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0927";>CAN-2003-0927</a>

<p>Un dépassement de tampon dans le tas permet à des attaquants distants
   de causer un déni de service (plantage), et potentiellement d'exécuter
   n'importe quel code par l'intermédiaire du dissecteur SOCKS&nbsp;;</p>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-1012";>CAN-2003-1012</a>

<p>Le dissecteur SMB permet à des attaquants distants de causer un déni
   de service en utilisant des paquets SMB malformés qui causent une erreur
   de segmentation durant le traitement des paquets sélectionnés&nbsp;;</p>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-1013";>CAN-2003-1013</a>

<p>Le dissecteur Q.931 permet à des attaquants distants de causer un
   déni de service (plantage) en utilisant un paquet Q.931 malformé qui
   cause un appel de pointeur nul.</p>

</ul>

<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version&nbsp;0.9.4-1woody6.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé 
dans la version&nbsp;0.10.0-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ethereal
et tethereal.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-407.data"
# $Id: dsa-407.wml,v 1.1 2004/01/05 09:37:24 joey Exp $

#use wml::debian::translation-check translation="1.2" maintainer="DFS
Task Force"

<define-tag description>Déni de service</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité à été découverte dans <i>bind</i>, un serveur de
noms de domaine, permettant à un serveur de noms malveillant de retourner
des réponses autoritaires négatives, avec un TTL (durée de vie) élevé,
rendant ainsi un nom de domaine injoignable. Pour réussir une
attaque, il faudrait qu'une instance de BIND vulnérable envoie une
requête au serveur de noms malveillant.</p>

<p>Le paquet <i>bind9</i> n'est pas affecté par cette vulnérabilité.</p>

<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a
été corrigé dans la version&nbsp;1:8.3.3-2.0woody2.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version&nbsp;1:8.4.3-1.</p>

<p>Nous vous recommandons de mettre à jour votre paquet <i>bind</i>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-409.data"
# $Id: dsa-409.wml,v 1.1 2004/01/06 08:53:20 joey Exp $

#use wml::debian::translation-check translation="1.2" maintainer="DFS
Task Force"

<define-tag description>Bogues de format</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été découverte dans <i>mpg321</i>, un lecteur
de MP3 en ligne de commande&nbsp;: des chaînes fournies par
l'utilisateur sont passées de façon non sécurisée à printf(3). Cette
vulnérabilité pourrait être exploitée par un attaquant distant pour
écraser la mémoire, et potentiellement exécuter n'importe quel
code. Pour que cette vulnérabilité puisse être exploitée, il faudrait
que mpg321 lise un fichier MP3 malveillant (y compris par diffusion
HTTP).</p>

<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a
été corrigé dans la version&nbsp;0.2.10.2.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version&nbsp;0.2.10.3.</p>

<p>Nous vous recommandons de mettre votre paquet <i>mpg321</i> à
jour.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-411.data"
# $Id: dsa-411.wml,v 1.1 2004/01/06 08:56:38 joey Exp $

#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"

<define-tag description>Déni de service</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans <i>zebra</i>, un démon de
routage IP&nbsp;:</p>

<ul>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0795";>CAN-2003-0795</a>
- un bogue dans l'interface de commande telnet peut permettre à un
  attaquant distant de faire planter le processus zebra, causant un déni
  de service&nbsp;;</li>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0858";>CAN-2003-0858</a>
- les messages Netlink envoyés par d'autres utilisateurs (plutôt que par
  le noyau) seraient acceptés, ce qui causerait un déni de service.</li>
</ul>

<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a
été corrigé dans la version&nbsp;0.92a-5woody2.</p>

<p>Le paquet <i>zebra</i> a été retiré de la distribution instable, il
est remplacé par GNU Quagga, pour lequel ce problème a été corrigé dans
la version&nbsp;0.96.4x-4.</p>

<p>Nous vous recommandons de mettre à jour votre paquet zebra.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-415.data"
# $Id: dsa-415.wml,v 1.1 2004/01/07 07:43:54 joey Exp $

Reply to:

Follow-Ups:
- Re: [Relu] webwml://security/2004/dsa-{406,407,409,411,415}.wml
  - From: barbier@linuxfr.org (Denis Barbier)

Prev by Date: Re : [TAF] po://aptitude
Next by Date: Re: mode po d'Emacs [etait : Re: [DDR] po-debconf://facturalux/fr.po]
Previous by thread: [d-i] Etat dans le CVS des questionnaires debconf 2004/01/12
Next by thread: Re: [Relu] webwml://security/2004/dsa-{406,407,409,411,415}.wml
Index(es):
- Date
- Thread