-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Bas van Schaik a découvert que le processus agentd de Zabbix, un système de surveillance du réseau, pouvait lancer des commandes fournies par l'utilisateur avec l'identifiant de groupe du superutilisateur et non zabbix. Cela peut conduire à une augmentation des droits. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet zabbix. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1:1.1.4-10etch1. </p> <p> Nous vous recommandons de mettre à jour vos paquets zabbix. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1420.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Traversée de répertoires</define-tag> <define-tag moreinfo> <p> Une vulnérabilité a été découverte dans Battle for Wesnoth. Elle permet à un attaquant distant de lire des fichiers arbitraires auxquels l'utilisateur du client a accès sur la machine faisant fonctionner le client du jeux. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.9.0-7. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.2-3. </p> <p> Pour les rétroportages de la distribution stable (<em>rétroportages pour Etch</em>), ce problème a été corrigé dans la version 1.2.8-1~bpo40+1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.2.8-1. </p> <p> Pour la distribution expérimentale, ce problème a été corrigé dans la version 1.3.12-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets wesnoth. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1421.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordements d'entiers</define-tag> <define-tag moreinfo> <p> Rafal Wojtczuk de McAfee AVERT Research a découvert que e2fsprogs, les utilitaires et les bibliothèques du système de fichiers ext2, contenait plusieurs débordements d'entiers dans les allocations de mémoire, ils sont basés sur des tailles prises directement à partir des informations du système de fichiers. Cela peut entraîner des débordements basés sur des zones de mémoire permettant potentiellement l'exécution de code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.39+1.40-WIP-2006.11.14+dfsg-2etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour vos paquets e2fsprogs. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1422.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans sitebar, un
gestionnaire de marque-pages basé sur la Toile écrit en PHP. Le projet des
expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5491";>CVE-2007-5491</a>
<p>
Une vulnérabilité par traversée de répertoire dans le module de traduction
permet à un utilisateur distant authentifié de modifier les droits de
fichiers arbitraires à 0777 par l'intermédiaire de séquences <q>..</q> dans
le paramètre <q>lang</q>.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5492";>CVE-2007-5492</a>
<p>
Une vulnérabilité par injection de code statique dans le module de
traduction permet à un utilisateur distant authentifié d'exécuter du code
PHP arbitraire par l'intermédiaire du paramètre <q>value</q>.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5693";>CVE-2007-5693</a>
<p>
Une vulnérabilité par injection de l'instruction eval dans le module de
traduction permet à un utilisateur distant authentifié d'exécuter du code
PHP arbitraire par l'intermédiaire du paramètre <q>edit</q> de l'action
<q>upd cmd</q>.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5694";>CVE-2007-5694</a>
<p>
Une vulnérabilité de traversée de chemin de fichier dans le module de
traduction permet à un utilisateur distant authentifié de lire des fichiers
arbitraires par l'intermédiaire d'un chemin de référence absolue dans le
paramètre <q>dir</q>.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5695";>CVE-2007-5695</a>
<p>
Une erreur dans command.php permet à un attaquant distant de rediriger les
utilisateurs vers des sites arbitraires par l'intermédiaire du paramètre
<q>forward</q> de l'action <q>Log In</q>.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5692";>CVE-2007-5692</a>
<p>
Plusieurs défauts de scripts intersites permettent à un attaquant distant
d'injecter des fragments de script ou de HTML arbitraires dans plusieurs
scripts.
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 3.2.6-7.1sarge1.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 3.3.8-7etch1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 3.3.8-12.1.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet sitebar.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1423.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans le navigateur
Iceweasel, une version en marque blanche du navigateur Firefox. Le projet des
expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5947";>CVE-2007-5947</a>
<p>
Jesse Ruderman et Petko D. Petkov ont découvert que le gestionnaire de
ressources pour les archives JAR permettait des attaques par scripts
intersites.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5959";>CVE-2007-5959</a>
<p>
Plusieurs plantages dans le moteur de rendu ont été découverts. Ils peuvent
permettre l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5960";>CVE-2007-5960</a>
<p>
Gregory Fleischer a découvert une situation de concurrence dans la gestion
de la propritété <q>window.location</q>. Cela pourrait conduire à la
falsification de requêtes intersites.
</p>
</li>
</ul>
<p>
Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution
stable (<em>Sarge</em>) ne sont plus fournies.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.0.0.10-0etch1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.0.0.10-2.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets iceweasel.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1424.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans Xulrunner, un
environnement d'exécution pour les applications Xul. Le projet des expositions
et vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5947";>CVE-2007-5947</a>
<p>
Jesse Ruderman et Petko D. Petkov ont découvert que le gestionnaire de
ressources pour les archives JAR permettait des attaques par scripts
intersites.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5959";>CVE-2007-5959</a>
<p>
Plusieurs plantages dans le moteur de rendu ont été découverts. Ils peuvent
permettre l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5960";>CVE-2007-5960</a>
<p>
Gregory Fleischer a découvert une situation de concurrence dans la gestion
de la propritété <q>window.location</q>. Cela pourrait conduire à la
falsification de requêtes intersites.
</p>
</li>
</ul>
<p>
L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet
xulrunner.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.8.0.14~pre071019c-0etch1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.8.1.11-1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets xulrunner.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1425.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales et à distance ont été découvertes dans la
bibliothèque d'interface graphique Qt. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3388";>CVE-2007-3388</a>
<p>
Tim Brown et Dirk Müller ont découvert plusieurs vulnérabilités de chaînes
de formatage dans la gestion des messages d'erreur. Cela peut conduire à
l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4137";>CVE-2007-4137</a>
<p>
Dirk Müller a découvert un débordement de mémoire tampon par décalage dans
la gestion de l'Unicode. Cela peut conduire à l'exécution de code
arbitraire.
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 3:3.3.4-3sarge3. Les paquets pour l'architecture
m68k seront fournis ultérieurement.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 3:3.3.7-4etch1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 3:3.3.7-8.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets qt-x11-free.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1426.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Alin Rad Pop a découvert que Samba, un serveur de fichiers et d'impression semblable à LanManager pour Unix, était vulnérable à un débordement de mémoire tampon dans le code nmbd qui gère les demandes de créneaux GETDC. Cela peut conduire à l'exécution de code arbitraire. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 3.0.14a-3sarge11. Les paquets pour l'architecture m68k seront fournis ultérieurement. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 3.0.24-6etch9. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour vos paquets samba. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1427.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales et à distance ont été découvertes dans le
noyau Linux. Elles peuvent conduire à un déni de service ou à l'exécution de
code arbitraire. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<p>
Il s'agit d'une mise à jour du bulettin de sécurité DSA 1428-1 où la
référence à CVE-2007-5904 avait été oubliée.
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3104";>CVE-2007-3104</a>
<p>
Eric Sandeen a fourni un rétroportage du correctif de Tejun Heo pour une
vulnérabilité de déni de service locale dans sysfs. En cas de faible
mémoire disponible, une structure dentry peut être réclamée et engendrer le
déréférencement d'un mauvais pointeur causant un hoquet du noyau pendant un
appel à readdir.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4997";>CVE-2007-4997</a>
<p>
Chris Evans a découvert un problème avec certains pilotes qui utilisent la
couche ieee80211 du noyau Linux. Un utilisateur distant peut générer une
trame 802.11 malveillante qui engendre un déni de service (plantage). On
sait que le pilote ipw2100 est affecté par ce problème, mais on pense que
le pilote ipw2200 ne l'est pas.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5500";>CVE-2007-5500</a>
<p>
Scott James Remnant a diagnostiqué une erreur de programmation dans
l'implantation de ptrace. Cela peut être utilisé par un utilisateur local
pour faire entrer le noyau dans une boucle sans fin.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5904";>CVE-2007-5904</a>
<p>
Przemyslaw Wegrzyn a découvert un problème dans le système de fichiers
CIFS. Cela permet à un serveur malveillant de causer un déni de service
(plantage) en faisant déborder de la mémoire tampon.
</p>
</li>
</ul>
<p>
Ces problèmes ont été corrigés dans la distribution stable dans la
version 2.6.18.dfsg.1-13etch5.
</p>
<p>
Le tableau suivant liste les paquets supplémentaires qui ont été reconstruits à
des fins de compatibilité ou pour tirer parti de cette mise à jour :
</p>
<div class="centerdiv"><table cellspacing="0" cellpadding="2">
<tr><th> </th> <th>Debian 4.0 (<em>Etch</em>)</th></tr>
<tr><td>fai-kernels</td> <td>1.17+etch.13etch5</td></tr>
<tr><td>user-mode-linux</td> <td>2.6.18-1um-2etch.13etch5</td></tr>
</table></div>
<p>
Nous vous recommandons de mettre à jour votre paquet de noyau immédiatement et
de redémarrer la machine. Si vous avez construit un noyau personnalisé avec le
paquet des sources du noyau, vous devez le reconstruire pour tirer parti de ces
corrections.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1428.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Script intersite</define-tag> <define-tag moreinfo> <p> Michael Skibbe a découvert que htdig, un système de recherche pour un intranet ou un petit site internet, ne citait pas correctement les valeurs soumises au script de recherche. Cella permet à un attaquant distant d'injecteur un script arbitraire ou du HTML dans des liens conçus spécialement. </p> <p> Dans l'ancienne distribution stable (<em>Sarge</em>), ce problème n'est pas présent. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1:3.2.0b6-3.1etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1:3.2.0b6-4. </p> <p> Nous vous recommandons de mettre à jour votre paquet htdig. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1429.data"
Attachment:
signature.asc
Description: Digital signature