-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU-Linux
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans Mozilla et les
produits dérivés comme Mozilla Firefox. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2788";>CVE-2006-2788</a>
<p>
Fernando Ribeiro a découvert qu'une vulnérabilité dans la fonction
getRawDER permettait à des attaquants distants de causer un déni de service
(gel) et peut-être d'exécuter un code quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4340";>CVE-2006-4340</a>
<p>
Daniel Bleichenbacher a récemment décrit une erreur d'implantation dans la
vérification de signature RSA, cela peut faire accepter à tort des
certificats SSL à l'application.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4565";>CVE-2006-4565</a>,
<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4566";>CVE-2006-4566</a>
<p>
Priit Laes a rapporté qu'une expression rationnelle JavaScript peut
déclencher un dépassement de mémoire tampon basé sur un bloc de mémoire,
cela permet à des attaquants distants de causer un déni de service et
peut-être d'exécuter un code quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4568";>CVE-2006-4568</a>
<p>
Une vulnérabilité a été découverte, cela permet à des attaquants distants
de contourner le modèle de sécurité et d'injecter du contenu dans le cadre
d'un autre site.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4571";>CVE-2006-4571</a>
<p>
Plusieurs vulnérabilités non précisées dans Firefox, Thunderbird et
SeaMonkey permettent à des attaquants distants de causer un déni de
service, de corrompre la mémoire, et peut-être d'exécuter un code
quelconque.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés
dans la version 1.0.4-2sarge12.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.5.dfsg+1.5.0.7-1 de firefox.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets Mozilla Firefox.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2006/dsa-1210.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Dépassement de mémoire tampon</define-tag> <define-tag moreinfo> <p> On a découvert que des paquets TCP mal formés pouvaient conduire à un déni de service et peut-être à l'exécution de code quelconque si le serveur de nom PowerDNS agit comme serveur de nom récursif. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 2.9.17-13sarge3. </p> <p> Pour la prochaine distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 3.1.4-1 de pdns-recursor. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la versions 3.1.4-1 de pdns-recursor. </p> <p> Nous vous recommandons de mettre à jour vos paquets PowerDNS. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1211.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Déni de service</define-tag>
<define-tag moreinfo>
<p>
Deux problèmes de déni de service ont été trouvés dans le serveur OpenSSH. Le
projet des expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4924";>CVE-2006-4924</a>
<p>
La gestion par sshd de la version 1 du protocole ssh ne gère pas
correctement les blocs entrants dupliqués. Cela peut permettre à un
attaquant distant de faire consommer à sshd des ressources significatives
du microprocesseur conduisant à un déni de service.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5051";>CVE-2006-5051</a>
<p>
Une situation de concurrence de gestionnaires de signaux peut peut-être
permettre à un attaquant distant de faire planter sshd et peut
théoriquement conduire à la possibilité d'exécuter un code quelconque.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés
dans la version 1:3.8.1p1-8.sarge.6.
</p>
<p>
Pour les distributions instable (<em>Sid</em>) et de test (<em>Etch</em>), ces
problèmes ont été corrigés dans la versions 1:4.3p2-4.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet openssh.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2006/dsa-1212.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans Imagemagick, un
ensemble de programmes de manipulation d'images, cela pouvait conduire à
l'exécution de code quelconque. Le projet des expositions et vulnérabilités
communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0082";>CVE-2006-0082</a>
<p>
Daniel Kobras a découvert qu'Imagemagick était vulnérable aux attaques de
chaînes de formatage dans le code d'analyse des noms de fichiers.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4144";>CVE-2006-4144</a>
<p>
Damian Put a découvert qu'Imagemagick était vulnérable aux débordements de
mémoire tampon dans le module pour les images SGI.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5456";>CVE-2006-5456</a>
<p>
M Joonas Pihlaja a découvert qu'Imagemagick était vulnérable aux
débordements de mémoire tampon dans le module pour les images DCM et PALM.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5868";>CVE-2006-5868</a>
<p>
Daniel Kobras a découvert qu'Imagemagick était vulnérable aux débordements
de mémoire tampon dans le module pour les images SGI.
</p>
</li>
</ul>
<p>
Cette mise à jour traitement aussi de régressions dans le codec XCF, elles
avaient été introduites dans la mise à jour de sécurité précédente.
</p>
<p>
Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés
dans la version 6:6.0.6.2-2.8.
</p>
<p>
Pour la prochaine distribution stable (<em>Etch</em>), ces problèmes ont été
corrigés dans la version 7:6.2.4.5.dfsg1-0.11.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 7:6.2.4.5.dfsg1-0.11.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets imagemagick.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2006/dsa-1213.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Dépassement de mémoire tampon</define-tag> <define-tag moreinfo> <p> La mise à jour initiale fournie dans l'annonce de sécurité Debian n° 1214-1 était insuffisante ; cette mise à jour corrige cela. Pour les références, veuillez trouver ci-dessous le texte de l'annonce initiale : </p> <blockquote> <p> Renaud Lifchitz a découvert que gv, le lecteur PostScript et PDF pour X, n'effectuait pas de vérifications de limites suffisantes dans le code de l'analyseur PostScript, cela permet l'exécution de code quelconque par un dépassement de mémoire tampon. </p> </blockquote> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 3.6.1-10sarge2. </p> <p> Pour la prochaine distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 3.6.2-2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la versions 3.6.2-2. </p> <p> Nous vous recommandons de mettre à jour votre paquet gv. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1214.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans la bibliothèque
multimédia Xine, cela peut conduire à l'exécution de code quelconque. Le projet
des expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4799";>CVE-2006-4799</a>
<p>
L'équipe de sécurité XFocus a découvert qu'une validation insuffisante des
en-têtes AVI pouvait conduire à l'exécution de code quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4800";>CVE-2006-4800</a>
<p>
Michael Niedermayer a découvert qu'un débordement de mémoire tampon dans le
codec 4XM pouvait conduire à l'exécution de code quelconque.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés
dans la version 1.0.1-1sarge4.
</p>
<p>
Pour la prochaine distribution stable (<em>Etch</em>), ces problèmes ont été
corrigés dans la version 1.1.2-1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.1.2-1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets xine-lib.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2006/dsa-1215.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Fichiers temporaires peu sûrs</define-tag> <define-tag moreinfo> <p> Eric Romang a découvert que l'outil de sauvegarde flexbackup créait des fichiers temporaires de manière peu sûre, cela permet un déni de service par une attaque par lien symbolique. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.2.1-2sarge1. </p> <p> Pour la prochaine distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.2.1-3. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la versions 1.2.1-3. </p> <p> Nous vous recommandons de mettre à jour votre paquet flexbackup. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1216.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Paul Szabo a découvert que le serveur ftp netkit changeait d'identifiant d'utilisateur trop tard, cela peut conduire au contournement des restrictions d'accès lors d'un fonctionnement sur NFS. Cette mise à jour ajoute également des vérifications de valeurs de retour aux appels setuid() qui peuvent échouer dans certains configurations de PAM. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.17-20sarge2. </p> <p> Pour la prochaine distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.17-22. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la versions 0.17-22. </p> <p> Nous vous recommandons de mettre à jour votre paquet ftpd. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1217.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert que le démon FTP proftpd n'effectuait pas de validation suffisante des limites de taille du tampon mémoire des commandes FTP, cela peut conduire à un déni de service. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.2.10-15sarge2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la versions 1.3.0-13 du paquet proftpd-dfsg. </p> <p> Nous vous recommandons de mettre à jour votre paquet proftpd. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1218.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Débordement de mémoire tampon</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été trouvées dans le paquet GNU texinfo, un
système de documentation pour la sortie d'informations en ligne ou imprimée.
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3011";>CVE-2005-3011</a>
<p>
La gestion des fichiers temporaires est effectuée de manière peu sûre, cela
permet à un attaquant d'écraser tout fichier pour lequel la victime a la
permission d'écriture.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4810";>CVE-2006-4810</a>
<p>
Un débordement de mémoire tampon dans util/texindex.c pourrait permettre à
un attaquant d'exécuter un code quelconque avec les droits d'accès de la
victime en incitant celle-ci à lancer texindex ou tex2dvi sur un file
texinfo conçu spécialement.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la
version 4.7-2.2sarge2. Veuillez noter que les paquets binaires pour
l'architecture mipsel ne sont pas disponible actuellement à cause d'un problème
technique avec l'hôte de construction. Ces paquets seront disponibles dès que
possible.
</p>
<p>
Pour la distribution instable (<em>Sid</em>) et la prochaine distribution
stable (<em>Etch</em>), ces problèmes ont été corrigés dans la
versions 4.8.dfsg.1-4.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet texinfo.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2006/dsa-1219.data"
Attachment:
signature.asc
Description: Digital signature