-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU-Linux
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans Mozilla Firefox.
</p>
<p>
Ceci est la dernière mise à jour de sécurité des produits basés sur Mozilla
pour l'ancienne distribution stable de Debian (<em>Sarge</em>). Nous vous
recommandons de faire la mise à jour vers la distribution stable
(<em>Etch</em>) dès que possible.
</p>
<p>
Le projet des expositions et vulnérabilités communes (CVE) identifie les
problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1282";>CVE-2007-1282</a>
<p>
On a découvert qu'un débordement d'entier dans l'analyse des messages de
type text/enhanced permettait l'exécution de code quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0994";>CVE-2007-0994</a>
<p>
On a découvert qu'une régression dans le moteur Javascript permettait
l'exécution de Javascript avec une augmentation des privilèges.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0995";>CVE-2007-0995</a>
<p>
On a découvert que l'analyse incorrecte de caractères HTML invalides
permettait de contourner les filtres de contenu.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0996";>CVE-2007-0996</a>
<p>
On a découvert que la gestion peu sûre des sous-cadres permettait des
attaques par script inter-site.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0981";>CVE-2007-0981</a>
<p>
On a découvert que Firefox gérait les URI contenant un octet null dans le
nom d'hôte de manière peu sûre.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0008";>CVE-2007-0008</a>
<p>
On a découvert qu'un débordement de mémoire tampon dans le code NSS
permettait l'exécution de code quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0009";>CVE-2007-0009</a>
<p>
On a découvert qu'un débordement de mémoire tampon dans le code NSS
permettait l'exécution de code quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0775";>CVE-2007-0775</a>
<p>
On a découvert que plusieurs erreurs de programmation dans le moteur de
rendu permettaient l'exécution de code quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0778";>CVE-2007-0778</a>
<p>
On a découvert que le cache de pages calculait des associations de manière
peut sûre.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6077";>CVE-2006-6077</a>
<p>
On a découvert que le gestionnaire de mots de passe permettait de divulguer
des mots de passe.
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 1.0.4-2sarge17. Vous devriez faire la mise à jour
vers <em>Etch</em> dès que possible.
</p>
<p>
La distribution stable (<em>Etch</em>) n'est pas affectée. Ces vulnérabilités
ont été corrigées avant la publication de la version <em>Etch</em> de Debian.
<p>
La distribution instable (<em>Sid</em>) ne contient plus mozilla-firefox.
Iceweasel a déjà été corrigé.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1336.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans Xulrunner, un
environnement d'exécution pour les applications XUL. Le projet des expositions
et vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3089";>CVE-2007-3089</a>
<p>
Ronen Zilberman et Michal Zalewski ont découvert qu'une situation de
concurrence temporelle permettait l'injection de contenu dans les cadres
about:blank.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3656";>CVE-2007-3656</a>
<p>
Michal Zalewski a découvert que les règles same-origin pour les documents
wyciwyg:// n'étaient pas suffisamment imposées.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3734";>CVE-2007-3734</a>
<p>
Bernd Mielke, Boris Zbarsky, David Baron, Daniel Veditz, Jesse Ruderman,
Lukas Loehrer, Martijn Wargers, Mats Palmgren, Olli Pettay, Paul Nickerson
et Vladimir Sukhoy ont découvert des plantages dans le moteur de rendu,
cela peut permettre l'exécution de code quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3735";>CVE-2007-3735</a>
<p>
Asaf Romano, Jesse Ruderman et Igor Bukanov ont découvert des plantages
dans le moteur JavaScript, cela peut permettre l'exécution de code
quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3736";>CVE-2007-3736</a>
<p>
<q>moz_bug_r_a4</q> a découvert que les fonctions addEventListener() et
setTimeout() permettaient des attaques par script inter-site.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3737";>CVE-2007-3737</a>
<p>
<q>moz_bug_r_a4</q> a découvert qu'une erreur de programmation dans la
gestion des événements permettait l'augmentation des privilèges.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3738";>CVE-2007-3738</a>
<p>
<q>shutdown</q> et <q>moz_bug_r_a4</q> ont découvert que XPCNativeWrapper
permettait l'exécution de code quelconque.
</p>
</li>
</ul>
<p>
L'ancienne distribution stable (<em>Sarge</em>) ne contient pas xulrunner.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.8.0.13~pre070720-0etch1. La construction pour
l'architecture mips n'est pas encore disponible, elle sera fournie
ultérieurement.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.8.1.5-1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets xulrunner.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1337.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans le navigateur
Iceweasel, une version en marque blanche du navigateur Firefox. Le projet des
expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3089";>CVE-2007-3089</a>
<p>
Ronen Zilberman et Michal Zalewski ont découvert qu'une situation de
concurrence temporelle permettait l'injection de contenu dans les cadres
about:blank.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3656";>CVE-2007-3656</a>
<p>
Michal Zalewski a découvert que les règles same-origin pour les documents
wyciwyg:// n'étaient pas suffisamment imposées.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3734";>CVE-2007-3734</a>
<p>
Bernd Mielke, Boris Zbarsky, David Baron, Daniel Veditz, Jesse Ruderman,
Lukas Loehrer, Martijn Wargers, Mats Palmgren, Olli Pettay, Paul Nickerson
et Vladimir Sukhoy ont découvert des plantages dans le moteur de rendu,
cela peut permettre l'exécution de code quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3735";>CVE-2007-3735</a>
<p>
Asaf Romano, Jesse Ruderman et Igor Bukanov ont découvert des plantages
dans le moteur JavaScript, cela peut permettre l'exécution de code
quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3736";>CVE-2007-3736</a>
<p>
<q>moz_bug_r_a4</q> a découvert que les fonctions addEventListener() et
setTimeout() permettaient des attaques par script inter-site.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3737";>CVE-2007-3737</a>
<p>
<q>moz_bug_r_a4</q> a découvert qu'une erreur de programmation dans la
gestion des événements permettait l'augmentation des privilèges.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3738";>CVE-2007-3738</a>
<p>
<q>shutdown</q> et <q>moz_bug_r_a4</q> ont découvert que XPCNativeWrapper
permettait l'exécution de code quelconque.
</p>
</li>
</ul>
<p>
Les produits Mozilla dans l'ancienne distribution stable (<em>Sarge</em>) ne
bénéficient plus de mises à jour de sécurité. Vous êtes fortement encouragés à
faire une mise à jour vers la distribution stable dès que possible.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.0.0.5-0etch1. Les constructions pour les architectures
alpha et mips ne sont pas encore disponibles, elles seront fournies
ultérieurement.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.0.0.5-1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets iceweasel.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1338.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans la suite internet
Iceape, une version en marque blanche de la suite internet Seamonkey. Le projet
des expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3089";>CVE-2007-3089</a>
<p>
Ronen Zilberman et Michal Zalewski ont découvert qu'une situation de
concurrence temporelle permettait l'injection de contenu dans les cadres
about:blank.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3656";>CVE-2007-3656</a>
<p>
Michal Zalewski a découvert que les règles same-origin pour les documents
wyciwyg:// n'étaient pas suffisamment imposées.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3734";>CVE-2007-3734</a>
<p>
Bernd Mielke, Boris Zbarsky, David Baron, Daniel Veditz, Jesse Ruderman,
Lukas Loehrer, Martijn Wargers, Mats Palmgren, Olli Pettay, Paul Nickerson
et Vladimir Sukhoy ont découvert des plantages dans le moteur de rendu,
cela peut permettre l'exécution de code quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3735";>CVE-2007-3735</a>
<p>
Asaf Romano, Jesse Ruderman et Igor Bukanov ont découvert des plantages
dans le moteur JavaScript, cela peut permettre l'exécution de code
quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3736";>CVE-2007-3736</a>
<p>
<q>moz_bug_r_a4</q> a découvert que les fonctions addEventListener() et
setTimeout() permettaient des attaques par script inter-site.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3737";>CVE-2007-3737</a>
<p>
<q>moz_bug_r_a4</q> a découvert qu'une erreur de programmation dans la
gestion des événements permettait l'augmentation des privilèges.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3738";>CVE-2007-3738</a>
<p>
<q>shutdown</q> et <q>moz_bug_r_a4</q> ont découvert que XPCNativeWrapper
permettait l'exécution de code quelconque.
</p>
</li>
</ul>
<p>
Les produits Mozilla dans l'ancienne distribution stable (<em>Sarge</em>) ne
bénéficient plus de mises à jour de sécurité. Vous êtes fortement encouragés à
faire une mise à jour vers la distribution stable dès que possible.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.0.10~pre070720-0etch1. La construction pour
l'architecture mips n'est pas encore disponible, elle sera fournie
ultérieurement.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.1.3-1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets iceape.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1339.data"
Attachment:
signature.asc
Description: Digital signature