Quoting Cyrille Bollu (cyrille.bollu@scarlet.be):
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Bonjour,
>
> j'ai un problème avec l'envoi de cet e-mail vers "debian-l10n-french";
> Je l'ai déjà envoyé 2 fois mais ne l'ai pas encore vu passer sur la
> liste. Le recevez-vous, vous?
Non, effectivement, je n'ai pas souvenir l'avoir reçu.
>
> Cyrille
>
> - -------- Original Message --------
> Subject: [LCFC] wml://security/nonvulns-{etch,sarge}.src [NMU]
> Date: Wed, 26 Dec 2007 21:56:28 +0100
> From: Cyrille Bollu <cyrille.bollu@scarlet.be>
> To: Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
> CC: debian-l10n-french@lists.debian.org
> References: <476597F9.8090302@scarlet.be>
> <20071217103354.GL11898@olympe.fr> <4767A875.8060400@scarlet.be>
> <20071221234453.GL30076@dedibox>
>
> Simon Paillard wrote:
> > Bonsoir,
> >
> > On Tue, Dec 18, 2007 at 12:01:09PM +0100, Cyrille Bollu wrote:
> >> voici les fichiers diff unifiés mis à jour compte tenu de vos remarques
> >> et des miennes (ci-dessous).
> >
> > Fichiers commités, avec la corretion verroux/verrous de Stéphane.
> >
>
> Un dernier commentaire?
>
> Cyrille
>
>
> - --
>
> Secure your e-mails and fight SPAM by encrypting and signing your e-mails.
> Promote Free software by using GnuPGP (runs on Windows) and a e-mail
> plugin for this purpose.
> You can find my GnuPGP public key on random.sks.keyserver.penguin.de
> (ID=0x6C9DEB59)
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>
> iD8DBQFHeqF5ego27Gyd61kRAhPmAJ4yYzcpvd85lFZJwwJo9Aj/BEFozACeODOf
> 9/rAMhP8oJ/PeCEuOG9tRks=
> =+vzN
> -----END PGP SIGNATURE-----
> --- nonvulns-etch-1.10.src 2007-12-16 21:35:02.000000000 +0100
> +++ nonvulns-etch-1.11.src 2007-12-20 21:47:07.000000000 +0100
> @@ -8,6 +8,10 @@
> #
> # multiple lines of text permitted
> #
> +CVE-2005-1924
> + squirrelmail : le plugin G/PgP (GPG) permet ? des utilisateurs distants authentifi?s d'ex?cuter du code quelconque, ce plugin n'est pas compil? dans Debian.
> +CVE-2006-4169
> + squirrelmail : de multiples vuln?rabilit?s de travers?e de r?pertoires dans le plugin G/PGP (GPG) permettent ? des utilisateurs distants authentifi?s d'ex?cuter des fichiers locaux quelconques, ce plugin n'est pas compil? dans Debian.
> CVE-2006-4600
> slapd : Les utilisateurs distants ayant, par une liste de contr?le
> d'acc?s, les droits selfwrite peuvent modifier un DN quelconque,
> @@ -21,9 +25,19 @@
> CVE-2007-1001
> libgd: Ex?cution de code quelconque par des attaquants d?pendant du
> contexte, d?j? corrig? dans la version de libgd2 fournie par Debian.
> +CVE-2007-1054
> + mediawiki1.7 : Une vuln?rabilit? de scripts intersites (XSS) permet ? des attaquants distants d'injecter un script web quelconque, d?j? corrig? dans Etch.
> +CVE-2007-1378
> + php4 : Possibilit? d'?crire ? une adresse m?moire quelconque en utilisant un contexte d?pendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Etch.
> +CVE-2007-1379
> + php4 : Possibilit? d'ex?cuter du code quelconque en utilisant un contexte d?pendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Etch.
> +CVE-2007-1381
> + php5 : Possibilit? d'ex?cuter du code quelconque en utilisant un contexte d?pendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Etch.
> CVE-2007-1856
> cron : D?ni de service local, Debian utilise un sch?ma de
> permissions correct.
> +CVE-2007-1862
> + apache2 : la copie incorrecte des donn?es d'en-t?te de tous les niveaux peut permettre ? des attaquants distants d'obtenir des informations potentiellement sensibles, paquet trop ancien dans Etch.
> CVE-2007-2026
> file : D?ni de service via un contexte d?pendant des attaquants,
> paquet trop ancien dans Etch.
> @@ -34,13 +48,44 @@
> Bug#424729
> VU#684664
> libpng : d?ni de service via les unit?s tRNS, pas d'injection de code possible.
> +CVE-2007-2797
> + xterm : une mauvaise configuration des droits d'appartenances permet ? des utilisateurs locaux d'?crire dans les terminaux d'autres utilisateurs, les configurations de compilation emp?chent ceci dans Etch.
> CVE-2007-2844
> php : une situation de concurrence sur les syst?mes multiprocessus
> permet ? un attaquant distant d'obtenir l'acc?s au syst?me,
> configuration non g?r?e par Debian.
> +CVE-2007-2951
> + kvirc : Ex?cution de commande ? distance avec l'assistance d'un utilisateur, code absent de Etch.
> +CVE-2007-3102
> + openssh : Une vuln?rabilit? non sp?cifi?e permet ? des attaquants distants d'?crire des caract?res quelconques dans un fichier de log d'audit, ce probl?me est sp?cifique ? Red Hat / Fedora.
> +CVE-2007-3280
> + postgresql8.(1|2) : La librairie "Database Link" (dblink) permet ? des superutilisateurs distants authentifi?s d'ex?cuter une fonction d'une librairie quelconque, ni PL/pgsql ni dblink ne sont activ?s par d?faut.
> +CVE-2007-3374
> + redhat-cluster : un d?passement de tampon permet ? des attaquants distants d'effectuer un d?ni de service (crash) et ?ventuellement ex?cuter du code quelconque, code absent de Etch.
> +CVE-2007-3380
> + linux-2.6 : Le gestionnaire de verrous distribu?s (DLM) permet ? des attaquants distants d'effectuer un d?ni de service, code absent de Sarge.
> CVE-2007-3410
> helix-player: D?ni de service distant et possible ex?cution de code
> dans la fonctionnalit? wallclock, les version de Debian ne sont pas
> affect?es.
> CVE-2007-3508
> glibc: d?bordement d'entier dans hwcaps, bogue non exploitable.
> +CVE-2007-3852
> + sysstat : le script d'initialisation permet aux utilisateurs locaux d'ex?cuter du code arbitraire, ce script n'est pas utilis? dans Etch.
> + samba : usurpation de droits dans certaines configurations, code absent de Etch.
> +CVE-2007-4828
> + mediawiki : vuln?rabilit? des scripts intersites (XSS) permettant ? des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Etch.
> +CVE-2007-4996
> + gaim : cette vuln?rabilit? permet ? des attaquants distants d'effectuer un d?ni de service (crash) via un message "nudge", code absent de Etch.
> +CVE-2007-5266
> + libpng : une vuln?rabilit? de type "erreur logique de limite" permet ? des attaquants distants d'effectuer un d?ni de service (crash) via une image PNG sp?cialement form?e, code absent de Etch.
> +CVE-2007-5267
> + libpng : une vuln?rabilit? de type "erreur logique de limite" permet ? des attaquants distants d'effectuer un d?ni de service (crash) via une image PNG sp?cialement form?e, code absent de Etch.
> +CVE-2007-5268
> + libpng : cette vuln?rabilit? peut permettre ? des attaquants distants d'effectuer un deni de service (crash) via une image PNG sp?cialement form?e, code absent de Etch.
> +CVE-2007-5751
> + liferea : utilisateurs locaux pouvant obtenir des informations d'identification, code absent de Etch.
> +CVE-2007-5939
> + Heimdal: La fonction gss_userok permet ? des attaquants distants d'avoir un impact ind?termin? via un nom d'utilisateur invalide, code absent de Sarge.
> +CVE-2007-5977
> + phpmyadmin : vuln?rabilit? des scripts intersites (XSS) permettant ? des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Etch.
>
> --- nonvulns-sarge-1.68.src 2007-12-16 21:35:21.000000000 +0100
> +++ nonvulns-sarge-1.69.src 2007-12-20 21:46:54.000000000 +0100
> @@ -16,7 +16,6 @@
> VU#176363
> ncompress : ex?cution de code arbitraire ? travers un d?passement
> de tampon avec des noms de fichier longs.
> -
> CAN-2004-0747
> Apache 2 : d?passement de tampon qui permettrait aux utilisateurs locaux d'obtenir les droits d'apache via un fichier .htaccess.
> CAN-2004-0777
> @@ -166,9 +165,9 @@
> CAN-2005-0182
> mod_dosevasive : fichier temporaire non s?curis?, paquet absent de Sarge.
> CAN-2005-0183
> - Squirrelmail : ex?cution de commande arbitraire dans le plugin vacation, absent de Sarge.
> + squirrelmail : ex?cution de commande arbitraire dans le plugin vacation, absent de Sarge.
> CAN-2005-0184
> - Squirrelmail : vuln?rabilit? de travers?e de r?pertoire dans le plugin vacation, absent de Sarge.
> + squirrelmail : vuln?rabilit? de travers?e de r?pertoire dans le plugin vacation, absent de Sarge.
> CAN-2005-0206
> xpdf : le patch pour CAN-2004-0888 n'?tait pas correct en 64bit, le patch Debian l'?tait.
> CAN-2005-0219
> @@ -182,7 +181,7 @@
> CAN-2005-0230
> Firefox : placement de fichiers ex?cutables non s?curis?s sur le bureau, sp?cifique aux ex?cutables DOS.
> CAN-2005-0239
> - Squirrelmail : ex?cution de commande arbitraire dans le plugin S/MIME, absent de Sarge.
> + squirrelmail : ex?cution de commande arbitraire dans le plugin S/MIME, absent de Sarge.
> CAN-2005-0427
> webmin : mot de passe root inclus dans le paquet, s'applique uniquement ? Gentoo.
> CAN-2005-0459
> @@ -218,6 +217,8 @@
> CAN-2005-1824
> BID13763
> mailutils : d?passement d'entier, d?j? corrig? dans Sarge.
> +CVE-2005-1924
> + squirrelmail : Le plugin G/PgP (GPG) permet ? des utilisateurs distants authentifi?s d'ex?cuter du code quelconque, ce plugin n'est pas compil? dans Debian.
> CAN-2005-1944
> xmysqladmin: vuln?rabilit? par lien symbolique, paquet absent de Sarge.
> CAN-2005-2792
> @@ -264,9 +265,9 @@
> CVE-2005-3984
> webcalendar : vuln?rabilit? d'injection SQL, code absent de Sarge.
> CVE-2005-4305
> - trac : vuln?rabilit? de script intersites, non applicable ? Sarge.
> + trac : vuln?rabilit? de scripts intersites, non applicable ? Sarge.
> CVE-2005-4357
> - phpbb2 : vuln?rabilit? de script intersites, option d?sactiv?e et utilisateurs avertis.
> + phpbb2 : vuln?rabilit? de scripts intersites, option d?sactiv?e et utilisateurs avertis.
> CVE-2005-4789
> resmgr : contournement de restriction, code absent de Sarge.
> CVE-2006-0321
> @@ -297,7 +298,7 @@
> firebird : programmes accidentellement install?s en mode ? setuid ?, pas dans Debian.
> CVE-2006-1258
> BID17142
> - phpmyadmin : vuln?rabilit? de script intersites, paquet trop ancien dans Sarge.
> + phpmyadmin : vuln?rabilit? de scripts intersites, paquet trop ancien dans Sarge.
> CVE-2006-1498
> mediawiki : vuln?rabilit? des scripts intersites, paquet absent de Sarge.
> CVE-2006-1520
> @@ -396,6 +397,8 @@
> mysql : d?ni de service, erreur de l'utilisateur.
> CVE-2006-4146
> gdb : ex?cution de code arbitraire, le code arbitraire est ex?cut? de toute fa?on.
> +CVE-2006-4169
> + squirrelmail : De multiples vuln?rabilit?s de travers?e de r?pertoires dans le plugin G/PGP (GPG) permettent ? des utilisateurs distants authentifi?s d'ex?cuter des fichiers locaux quelconques, ce plugin n'est pas compil? dans Sarge.
> CVE-2006-4227
> BID19559
> mysql : usurpation de droits, code trop ancien dans Sarge.
> @@ -409,6 +412,8 @@
> avahi-common : pas d'identification de l'?metteur, paquet absent de Sarge.
> CVE-2006-5705
> wordpress : plusieurs vuln?rabilit?s de travers?e de r?pertoire, paquet absent de Sarge.
> +CVE-2006-5974
> + fetchmail : d?ni de service (crash) ? distance, code absent de Sarge.
> CVE-2006-6105
> gdm : ex?cution de code arbitraire via une vuln?rabilit? sur le format des cha?nes de caract?res, code absent de Sarge.
> CVE-2006-6302
> @@ -442,12 +447,22 @@
> contexte, d?j? corrig? dans la version de libgd2 fournie par Debian.
> CVE-2007-1002
> evolution : ex?cution de code ? distance avec intervention de l'utilisateur, code absent de Sarge.
> +CVE-2007-1378
> + php4 : Possibilit? d'?crire ? une adresse m?moire quelconque en utilisant un contexte d?pendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Sarge.
> +CVE-2007-1379
> + php4 : Possibilit? d'ex?cuter du code quelconque en utilisant un contexte d?pendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Sarge.
> CVE-2007-1253
> blender : ex?cution de code Python ? distance avec intervention de l'utilisateur, paquet trop ancien dans Sarge.
> CVE-2007-1560
> squid : d?ni de service ? distance en utilisant des requ?tes TRACE sp?cialement form?es, code absent de Sarge.
> +CVE-2007-1718
> + php4 : Possibilit? de conduire des attaques de spam via une vuln?rabilit? de type injection CRLF, code absent de Sarge.
> +CVE-2007-1841
> + ipsec-tools : d?ni de service via la fonction isakmp_info_recv, r?solu par co?ncidence par un changement du code dans Sarge.
> CVE-2007-1856
> cron : d?ni de service local, Debian utilise un sch?ma de droits correct.
> +CVE-2007-1862
> + apache2 : la copie incorrecte des donn?es d'en-t?te de tous les niveaux peut permettre ? des attaquants distants d'obtenir des informations potentiellement sensibles, paquet trop ancien dans Sarge.
> CVE-2007-2026
> file : d?ni de service en utilisant un contexte d?pendant de l'attaquant, paquet trop ancien dans Sarge.
> CVE-2007-2241
> @@ -456,13 +471,45 @@
> Bug#424729
> VU#684664
> libpng : d?ni de service via les unit?s tRNS, pas d'injection de code possible.
> +CVE-2007-2797
> + xterm : une mauvaise configuration des droits d'appartenances permet ? des utilisateurs locaux d'?crire dans les terminaux d'autres utilisateurs, les configurations de compilation emp?chent ceci dans Sarge.
> CVE-2007-2844
> php : une situation de concurrence sur les syst?mes multiprocessus
> permet ? un attaquant distant d'obtenir l'acc?s au syst?me,
> configuration non g?r?e par Debian.
> +CVE-2007-3102
> + openssh : Une vuln?rabilit? non sp?cifi?e permet ? des attaquants distants d'?crire des caract?res quelconques dans un fichier de log d'audit, ce probl?me est sp?cifique ? Red Hat / Fedora.
> +CVE-2007-3380
> + linux-2.6 : Le gestionnaire de verrous distribu?s (DLM) permet ? des attaquants distants d'effectuer un d?ni de service, code absent de Sarge.
> CVE-2007-3410
> helix-player: D?ni de service distant et possible ex?cution de code
> - dans la fonctionnalit? wallclock, les version de Debian ne sont pas
> + dans la fonctionnalit? wallclock, les versions de Debian ne sont pas
> affect?es.
> CVE-2007-3508
> glibc: d?bordement d'entier dans hwcaps, bogue non exploitable.
> +CVE-2007-3852
> + sysstat : le script d'initialisation permet aux utilisateurs locaux d'ex?cuter du code arbitraire, ce script n'est pas utilis? dans Sarge.
> +CVE-2007-4138
> + samba : usurpation de droits dans certaines configurations, code absent de Sarge.
> +CVE-2007-4543
> + bugzilla : vuln?rabilit? des scripts intersites (XSS) permettant ? des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Sarge.
> +CVE-2007-4995
> + openssl : une vuln?rabilit? de type "erreur logique de limite" permet ? des attaquants distants d'ex?cuter du code quelconque, code absent de Sarge.
> +CVE-2007-4996
> + gaim : cette vuln?rabilit? permet ? des attaquants distants d'effectuer un d?ni de service (crash) via un message "nudge", code absent de Sarge.
> +CVE-2007-5266
> + libpng: une vuln?rabilit? de type "erreur logique de limite" permet ? des attaquants distants d'effectuer un d?ni de service (crash) via une image PNG sp?cialement form?e, code absent de Sarge.
> +CVE-2007-5267
> + libpng : une vuln?rabilit? de type "erreur logique de limite" permet ? des attaquants distants d'effectuer un d?ni de service (crash) via une image PNG sp?cialement form?e, code absent de Sarge.
> +CVE-2007-5268
> + libpng : cette vuln?rabilit? peut permettre ? des attaquants distants d'effectuer un deni de service (crash) via une image PNG sp?cialement form?e, code absent de Sarge.
> +CVE-2007-5751
> + liferea : utilisateurs locaux pouvant obtenir des informations d'identification, code absent de Sarge.
> +CVE-2007-5795
> + emacs21 : la fonction hack-local-variables dans Emacs permet ? des attaquants assist?s par un utilisateur de contourner des restrictions pr?vues et de modifier des variables critiques du programme, code absent de Sarge.
> +CVE-2007-5939
> + Heimdal : La fonction gss_userok permet ? des attaquants distants d'avoir un impact ind?termin? via un nom d'utilisateur invalide, code absent de Sarge.
> +CVE-2007-5977
> + phpmyadmin : vuln?rabilit? des scripts intersites (XSS) permettant ? des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Sarge.
> +CVE-2007-6110
> + htdig : vuln?rabilit? des scripts intersites (XSS) permettant ? des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Sarge.
>
--
Attachment:
signature.asc
Description: Digital signature