Quoting Cyrille Bollu (cyrille.bollu@scarlet.be): > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Bonjour, > > j'ai un problème avec l'envoi de cet e-mail vers "debian-l10n-french"; > Je l'ai déjà envoyé 2 fois mais ne l'ai pas encore vu passer sur la > liste. Le recevez-vous, vous? Non, effectivement, je n'ai pas souvenir l'avoir reçu. > > Cyrille > > - -------- Original Message -------- > Subject: [LCFC] wml://security/nonvulns-{etch,sarge}.src [NMU] > Date: Wed, 26 Dec 2007 21:56:28 +0100 > From: Cyrille Bollu <cyrille.bollu@scarlet.be> > To: Simon Paillard <simon.paillard@resel.enst-bretagne.fr> > CC: debian-l10n-french@lists.debian.org > References: <476597F9.8090302@scarlet.be> > <20071217103354.GL11898@olympe.fr> <4767A875.8060400@scarlet.be> > <20071221234453.GL30076@dedibox> > > Simon Paillard wrote: > > Bonsoir, > > > > On Tue, Dec 18, 2007 at 12:01:09PM +0100, Cyrille Bollu wrote: > >> voici les fichiers diff unifiés mis à jour compte tenu de vos remarques > >> et des miennes (ci-dessous). > > > > Fichiers commités, avec la corretion verroux/verrous de Stéphane. > > > > Un dernier commentaire? > > Cyrille > > > - -- > > Secure your e-mails and fight SPAM by encrypting and signing your e-mails. > Promote Free software by using GnuPGP (runs on Windows) and a e-mail > plugin for this purpose. > You can find my GnuPGP public key on random.sks.keyserver.penguin.de > (ID=0x6C9DEB59) > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.4.6 (GNU/Linux) > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org > > iD8DBQFHeqF5ego27Gyd61kRAhPmAJ4yYzcpvd85lFZJwwJo9Aj/BEFozACeODOf > 9/rAMhP8oJ/PeCEuOG9tRks= > =+vzN > -----END PGP SIGNATURE----- > --- nonvulns-etch-1.10.src 2007-12-16 21:35:02.000000000 +0100 > +++ nonvulns-etch-1.11.src 2007-12-20 21:47:07.000000000 +0100 > @@ -8,6 +8,10 @@ > # > # multiple lines of text permitted > # > +CVE-2005-1924 > + squirrelmail : le plugin G/PgP (GPG) permet ? des utilisateurs distants authentifi?s d'ex?cuter du code quelconque, ce plugin n'est pas compil? dans Debian. > +CVE-2006-4169 > + squirrelmail : de multiples vuln?rabilit?s de travers?e de r?pertoires dans le plugin G/PGP (GPG) permettent ? des utilisateurs distants authentifi?s d'ex?cuter des fichiers locaux quelconques, ce plugin n'est pas compil? dans Debian. > CVE-2006-4600 > slapd : Les utilisateurs distants ayant, par une liste de contr?le > d'acc?s, les droits selfwrite peuvent modifier un DN quelconque, > @@ -21,9 +25,19 @@ > CVE-2007-1001 > libgd: Ex?cution de code quelconque par des attaquants d?pendant du > contexte, d?j? corrig? dans la version de libgd2 fournie par Debian. > +CVE-2007-1054 > + mediawiki1.7 : Une vuln?rabilit? de scripts intersites (XSS) permet ? des attaquants distants d'injecter un script web quelconque, d?j? corrig? dans Etch. > +CVE-2007-1378 > + php4 : Possibilit? d'?crire ? une adresse m?moire quelconque en utilisant un contexte d?pendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Etch. > +CVE-2007-1379 > + php4 : Possibilit? d'ex?cuter du code quelconque en utilisant un contexte d?pendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Etch. > +CVE-2007-1381 > + php5 : Possibilit? d'ex?cuter du code quelconque en utilisant un contexte d?pendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Etch. > CVE-2007-1856 > cron : D?ni de service local, Debian utilise un sch?ma de > permissions correct. > +CVE-2007-1862 > + apache2 : la copie incorrecte des donn?es d'en-t?te de tous les niveaux peut permettre ? des attaquants distants d'obtenir des informations potentiellement sensibles, paquet trop ancien dans Etch. > CVE-2007-2026 > file : D?ni de service via un contexte d?pendant des attaquants, > paquet trop ancien dans Etch. > @@ -34,13 +48,44 @@ > Bug#424729 > VU#684664 > libpng : d?ni de service via les unit?s tRNS, pas d'injection de code possible. > +CVE-2007-2797 > + xterm : une mauvaise configuration des droits d'appartenances permet ? des utilisateurs locaux d'?crire dans les terminaux d'autres utilisateurs, les configurations de compilation emp?chent ceci dans Etch. > CVE-2007-2844 > php : une situation de concurrence sur les syst?mes multiprocessus > permet ? un attaquant distant d'obtenir l'acc?s au syst?me, > configuration non g?r?e par Debian. > +CVE-2007-2951 > + kvirc : Ex?cution de commande ? distance avec l'assistance d'un utilisateur, code absent de Etch. > +CVE-2007-3102 > + openssh : Une vuln?rabilit? non sp?cifi?e permet ? des attaquants distants d'?crire des caract?res quelconques dans un fichier de log d'audit, ce probl?me est sp?cifique ? Red Hat / Fedora. > +CVE-2007-3280 > + postgresql8.(1|2) : La librairie "Database Link" (dblink) permet ? des superutilisateurs distants authentifi?s d'ex?cuter une fonction d'une librairie quelconque, ni PL/pgsql ni dblink ne sont activ?s par d?faut. > +CVE-2007-3374 > + redhat-cluster : un d?passement de tampon permet ? des attaquants distants d'effectuer un d?ni de service (crash) et ?ventuellement ex?cuter du code quelconque, code absent de Etch. > +CVE-2007-3380 > + linux-2.6 : Le gestionnaire de verrous distribu?s (DLM) permet ? des attaquants distants d'effectuer un d?ni de service, code absent de Sarge. > CVE-2007-3410 > helix-player: D?ni de service distant et possible ex?cution de code > dans la fonctionnalit? wallclock, les version de Debian ne sont pas > affect?es. > CVE-2007-3508 > glibc: d?bordement d'entier dans hwcaps, bogue non exploitable. > +CVE-2007-3852 > + sysstat : le script d'initialisation permet aux utilisateurs locaux d'ex?cuter du code arbitraire, ce script n'est pas utilis? dans Etch. > + samba : usurpation de droits dans certaines configurations, code absent de Etch. > +CVE-2007-4828 > + mediawiki : vuln?rabilit? des scripts intersites (XSS) permettant ? des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Etch. > +CVE-2007-4996 > + gaim : cette vuln?rabilit? permet ? des attaquants distants d'effectuer un d?ni de service (crash) via un message "nudge", code absent de Etch. > +CVE-2007-5266 > + libpng : une vuln?rabilit? de type "erreur logique de limite" permet ? des attaquants distants d'effectuer un d?ni de service (crash) via une image PNG sp?cialement form?e, code absent de Etch. > +CVE-2007-5267 > + libpng : une vuln?rabilit? de type "erreur logique de limite" permet ? des attaquants distants d'effectuer un d?ni de service (crash) via une image PNG sp?cialement form?e, code absent de Etch. > +CVE-2007-5268 > + libpng : cette vuln?rabilit? peut permettre ? des attaquants distants d'effectuer un deni de service (crash) via une image PNG sp?cialement form?e, code absent de Etch. > +CVE-2007-5751 > + liferea : utilisateurs locaux pouvant obtenir des informations d'identification, code absent de Etch. > +CVE-2007-5939 > + Heimdal: La fonction gss_userok permet ? des attaquants distants d'avoir un impact ind?termin? via un nom d'utilisateur invalide, code absent de Sarge. > +CVE-2007-5977 > + phpmyadmin : vuln?rabilit? des scripts intersites (XSS) permettant ? des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Etch. > > --- nonvulns-sarge-1.68.src 2007-12-16 21:35:21.000000000 +0100 > +++ nonvulns-sarge-1.69.src 2007-12-20 21:46:54.000000000 +0100 > @@ -16,7 +16,6 @@ > VU#176363 > ncompress : ex?cution de code arbitraire ? travers un d?passement > de tampon avec des noms de fichier longs. > - > CAN-2004-0747 > Apache 2 : d?passement de tampon qui permettrait aux utilisateurs locaux d'obtenir les droits d'apache via un fichier .htaccess. > CAN-2004-0777 > @@ -166,9 +165,9 @@ > CAN-2005-0182 > mod_dosevasive : fichier temporaire non s?curis?, paquet absent de Sarge. > CAN-2005-0183 > - Squirrelmail : ex?cution de commande arbitraire dans le plugin vacation, absent de Sarge. > + squirrelmail : ex?cution de commande arbitraire dans le plugin vacation, absent de Sarge. > CAN-2005-0184 > - Squirrelmail : vuln?rabilit? de travers?e de r?pertoire dans le plugin vacation, absent de Sarge. > + squirrelmail : vuln?rabilit? de travers?e de r?pertoire dans le plugin vacation, absent de Sarge. > CAN-2005-0206 > xpdf : le patch pour CAN-2004-0888 n'?tait pas correct en 64bit, le patch Debian l'?tait. > CAN-2005-0219 > @@ -182,7 +181,7 @@ > CAN-2005-0230 > Firefox : placement de fichiers ex?cutables non s?curis?s sur le bureau, sp?cifique aux ex?cutables DOS. > CAN-2005-0239 > - Squirrelmail : ex?cution de commande arbitraire dans le plugin S/MIME, absent de Sarge. > + squirrelmail : ex?cution de commande arbitraire dans le plugin S/MIME, absent de Sarge. > CAN-2005-0427 > webmin : mot de passe root inclus dans le paquet, s'applique uniquement ? Gentoo. > CAN-2005-0459 > @@ -218,6 +217,8 @@ > CAN-2005-1824 > BID13763 > mailutils : d?passement d'entier, d?j? corrig? dans Sarge. > +CVE-2005-1924 > + squirrelmail : Le plugin G/PgP (GPG) permet ? des utilisateurs distants authentifi?s d'ex?cuter du code quelconque, ce plugin n'est pas compil? dans Debian. > CAN-2005-1944 > xmysqladmin: vuln?rabilit? par lien symbolique, paquet absent de Sarge. > CAN-2005-2792 > @@ -264,9 +265,9 @@ > CVE-2005-3984 > webcalendar : vuln?rabilit? d'injection SQL, code absent de Sarge. > CVE-2005-4305 > - trac : vuln?rabilit? de script intersites, non applicable ? Sarge. > + trac : vuln?rabilit? de scripts intersites, non applicable ? Sarge. > CVE-2005-4357 > - phpbb2 : vuln?rabilit? de script intersites, option d?sactiv?e et utilisateurs avertis. > + phpbb2 : vuln?rabilit? de scripts intersites, option d?sactiv?e et utilisateurs avertis. > CVE-2005-4789 > resmgr : contournement de restriction, code absent de Sarge. > CVE-2006-0321 > @@ -297,7 +298,7 @@ > firebird : programmes accidentellement install?s en mode ? setuid ?, pas dans Debian. > CVE-2006-1258 > BID17142 > - phpmyadmin : vuln?rabilit? de script intersites, paquet trop ancien dans Sarge. > + phpmyadmin : vuln?rabilit? de scripts intersites, paquet trop ancien dans Sarge. > CVE-2006-1498 > mediawiki : vuln?rabilit? des scripts intersites, paquet absent de Sarge. > CVE-2006-1520 > @@ -396,6 +397,8 @@ > mysql : d?ni de service, erreur de l'utilisateur. > CVE-2006-4146 > gdb : ex?cution de code arbitraire, le code arbitraire est ex?cut? de toute fa?on. > +CVE-2006-4169 > + squirrelmail : De multiples vuln?rabilit?s de travers?e de r?pertoires dans le plugin G/PGP (GPG) permettent ? des utilisateurs distants authentifi?s d'ex?cuter des fichiers locaux quelconques, ce plugin n'est pas compil? dans Sarge. > CVE-2006-4227 > BID19559 > mysql : usurpation de droits, code trop ancien dans Sarge. > @@ -409,6 +412,8 @@ > avahi-common : pas d'identification de l'?metteur, paquet absent de Sarge. > CVE-2006-5705 > wordpress : plusieurs vuln?rabilit?s de travers?e de r?pertoire, paquet absent de Sarge. > +CVE-2006-5974 > + fetchmail : d?ni de service (crash) ? distance, code absent de Sarge. > CVE-2006-6105 > gdm : ex?cution de code arbitraire via une vuln?rabilit? sur le format des cha?nes de caract?res, code absent de Sarge. > CVE-2006-6302 > @@ -442,12 +447,22 @@ > contexte, d?j? corrig? dans la version de libgd2 fournie par Debian. > CVE-2007-1002 > evolution : ex?cution de code ? distance avec intervention de l'utilisateur, code absent de Sarge. > +CVE-2007-1378 > + php4 : Possibilit? d'?crire ? une adresse m?moire quelconque en utilisant un contexte d?pendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Sarge. > +CVE-2007-1379 > + php4 : Possibilit? d'ex?cuter du code quelconque en utilisant un contexte d?pendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Sarge. > CVE-2007-1253 > blender : ex?cution de code Python ? distance avec intervention de l'utilisateur, paquet trop ancien dans Sarge. > CVE-2007-1560 > squid : d?ni de service ? distance en utilisant des requ?tes TRACE sp?cialement form?es, code absent de Sarge. > +CVE-2007-1718 > + php4 : Possibilit? de conduire des attaques de spam via une vuln?rabilit? de type injection CRLF, code absent de Sarge. > +CVE-2007-1841 > + ipsec-tools : d?ni de service via la fonction isakmp_info_recv, r?solu par co?ncidence par un changement du code dans Sarge. > CVE-2007-1856 > cron : d?ni de service local, Debian utilise un sch?ma de droits correct. > +CVE-2007-1862 > + apache2 : la copie incorrecte des donn?es d'en-t?te de tous les niveaux peut permettre ? des attaquants distants d'obtenir des informations potentiellement sensibles, paquet trop ancien dans Sarge. > CVE-2007-2026 > file : d?ni de service en utilisant un contexte d?pendant de l'attaquant, paquet trop ancien dans Sarge. > CVE-2007-2241 > @@ -456,13 +471,45 @@ > Bug#424729 > VU#684664 > libpng : d?ni de service via les unit?s tRNS, pas d'injection de code possible. > +CVE-2007-2797 > + xterm : une mauvaise configuration des droits d'appartenances permet ? des utilisateurs locaux d'?crire dans les terminaux d'autres utilisateurs, les configurations de compilation emp?chent ceci dans Sarge. > CVE-2007-2844 > php : une situation de concurrence sur les syst?mes multiprocessus > permet ? un attaquant distant d'obtenir l'acc?s au syst?me, > configuration non g?r?e par Debian. > +CVE-2007-3102 > + openssh : Une vuln?rabilit? non sp?cifi?e permet ? des attaquants distants d'?crire des caract?res quelconques dans un fichier de log d'audit, ce probl?me est sp?cifique ? Red Hat / Fedora. > +CVE-2007-3380 > + linux-2.6 : Le gestionnaire de verrous distribu?s (DLM) permet ? des attaquants distants d'effectuer un d?ni de service, code absent de Sarge. > CVE-2007-3410 > helix-player: D?ni de service distant et possible ex?cution de code > - dans la fonctionnalit? wallclock, les version de Debian ne sont pas > + dans la fonctionnalit? wallclock, les versions de Debian ne sont pas > affect?es. > CVE-2007-3508 > glibc: d?bordement d'entier dans hwcaps, bogue non exploitable. > +CVE-2007-3852 > + sysstat : le script d'initialisation permet aux utilisateurs locaux d'ex?cuter du code arbitraire, ce script n'est pas utilis? dans Sarge. > +CVE-2007-4138 > + samba : usurpation de droits dans certaines configurations, code absent de Sarge. > +CVE-2007-4543 > + bugzilla : vuln?rabilit? des scripts intersites (XSS) permettant ? des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Sarge. > +CVE-2007-4995 > + openssl : une vuln?rabilit? de type "erreur logique de limite" permet ? des attaquants distants d'ex?cuter du code quelconque, code absent de Sarge. > +CVE-2007-4996 > + gaim : cette vuln?rabilit? permet ? des attaquants distants d'effectuer un d?ni de service (crash) via un message "nudge", code absent de Sarge. > +CVE-2007-5266 > + libpng: une vuln?rabilit? de type "erreur logique de limite" permet ? des attaquants distants d'effectuer un d?ni de service (crash) via une image PNG sp?cialement form?e, code absent de Sarge. > +CVE-2007-5267 > + libpng : une vuln?rabilit? de type "erreur logique de limite" permet ? des attaquants distants d'effectuer un d?ni de service (crash) via une image PNG sp?cialement form?e, code absent de Sarge. > +CVE-2007-5268 > + libpng : cette vuln?rabilit? peut permettre ? des attaquants distants d'effectuer un deni de service (crash) via une image PNG sp?cialement form?e, code absent de Sarge. > +CVE-2007-5751 > + liferea : utilisateurs locaux pouvant obtenir des informations d'identification, code absent de Sarge. > +CVE-2007-5795 > + emacs21 : la fonction hack-local-variables dans Emacs permet ? des attaquants assist?s par un utilisateur de contourner des restrictions pr?vues et de modifier des variables critiques du programme, code absent de Sarge. > +CVE-2007-5939 > + Heimdal : La fonction gss_userok permet ? des attaquants distants d'avoir un impact ind?termin? via un nom d'utilisateur invalide, code absent de Sarge. > +CVE-2007-5977 > + phpmyadmin : vuln?rabilit? des scripts intersites (XSS) permettant ? des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Sarge. > +CVE-2007-6110 > + htdig : vuln?rabilit? des scripts intersites (XSS) permettant ? des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Sarge. > --
Attachment:
signature.asc
Description: Digital signature