-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales ont été découvertes dans PostgreSQL, une base
de données SQL relationnelles objet. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3278";>CVE-2007-3278</a>
<p>
On a découvert que le module DBLink ne réalisait pas de validation
suffisante des références. Ce problèmes est aussi suivi par <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6601";>\
CVE-2007-6601</a>, car le correctif initial était incomplet.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4769";>CVE-2007-4769</a>
<p>
Tavis Ormandy et Will Drewry ont découvert qu'un bogue dans la gestion des
références arrières dans le moteur d'expressions rationnelles pouvait
conduire à une lecture hors limites engendrant un plantage. Cela ne
constitue un problème de sécurité que si une application utilisant
PostgreSQL traite des expressions rationnelles venant de sources non
fiables.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4772";>CVE-2007-4772</a>
<p>
Tavis Ormandy et Will Drewry ont découvert qu'il était possible de tromper
l'optimiseur d'expressions rationnelles pour le faire entrer dans une
boucle sans fin engendrant un déni de service. Cela ne constitue un
problème de sécurité que si une application utilisant PostgreSQL traite des
expressions rationnelles venant de sources non fiables.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6067";>CVE-2007-6067</a>
<p>
Tavis Ormandy et Will Drewry ont découvert qu'il était possible de tromper
l'optimiseur d'expressions rationnelles pour lui faire consommer
massivement des ressources. Cela ne constitue un problème de sécurité que
si une application utilisant PostgreSQL traite des expressions rationnelles
venant de sources non fiables.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6600";>CVE-2007-6600</a>
<p>
Des fonctions dans les expressions d'index peuvent conduire à une
augmentation des droits. Pour de plus amples informations veuillez
consulter l'annonce amont disponible à <a
href="http://www.postgresql.org/about/news.905";>\
http://www.postgresql.org/about/news.905</a>.
</p>
</li>
</ul>
<p>
L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet
postgresql-8.1.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 8.1.11-0etch1 de postgresql-8.1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 8.2.6-1 de postgresql-8.2.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet postgresql-8.1
(version 8.1.11-0etch1).
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1460.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Validations des entrées insuffisantes</define-tag> <define-tag moreinfo> <p> Brad Fitzpatrick a découvert que les fonctions de libxml2 décodant l'UTF-8, la bibliothèque XML de Gnome, ne vérifiaient pas suffisamment la validité des données UTF-8. Cela pourrait conduire à une déni de service en obligeant libxml2 à entrer dans une boucle sans fin. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 2.6.16-7sarge1. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.6.27.dfsg-2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour votre paquet libxml2. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1461.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Validations des entrées insuffisantes</define-tag> <define-tag moreinfo> <p> Kees Cook a découvert que l'outils hpssd du système d'imagerie et d'impression Linux de HP ne réalisait pas de vérification suffisante des entrées des métacaractères de l'interpréteur de commandes. Cela pourrait engendrer une augmentation locale des privilèges à ceux de l'utilisateur hplip. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.6.10-3etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.6.10-4.3. </p> <p> Nous vous recommandons de mettre à jour votre paquet hplip. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1462.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales ont été découvertes dans PostgreSQL, une base
de données SQL relationnelles objet. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3278";>CVE-2007-3278</a>
<p>
On a découvert que le module DBLink ne réalisait pas de validation
suffisante des références. Ce problèmes est aussi suivi par <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6601";>\
CVE-2007-6601</a>, car le correctif initial était incomplet.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4769";>CVE-2007-4769</a>
<p>
Tavis Ormandy et Will Drewry ont découvert qu'un bogue dans la gestion des
références arrières dans le moteur d'expressions rationnelles pouvait
conduire à une lecture hors limites engendrant un plantage. Cela ne
constitue un problème de sécurité que si une application utilisant
PostgreSQL traite des expressions rationnelles venant de sources non
fiables.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4772";>CVE-2007-4772</a>
<p>
Tavis Ormandy et Will Drewry ont découvert qu'il était possible de tromper
l'optimiseur d'expressions rationnelles pour le faire entrer dans une
boucle sans fin engendrant un déni de service. Cela ne constitue un
problème de sécurité que si une application utilisant PostgreSQL traite des
expressions rationnelles venant de sources non fiables.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6067";>CVE-2007-6067</a>
<p>
Tavis Ormandy et Will Drewry ont découvert qu'il était possible de tromper
l'optimiseur d'expressions rationnelles pour lui faire consommer
massivement des ressources. Cela ne constitue un problème de sécurité que
si une application utilisant PostgreSQL traite des expressions rationnelles
venant de sources non fiables.
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6600";>CVE-2007-6600</a>
<p>
Des fonctions dans les expressions d'index peuvent conduire à une
augmentation des droits. Pour de plus amples informations veuillez
consulter l'annonce amont disponible à <a
href="http://www.postgresql.org/about/news.905";>\
http://www.postgresql.org/about/news.905</a>.
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), certains de ces problèmes
ont été corrigés dans la version 7.4.7-6sarge6 du paquet postgresql.
Veuillez noter que les correctifs de <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6600";>\
CVE-2007-6600</a> et de la gestion des expressions rationnelles n'ont pas été
rétroportés car ils sont trop intrusifs. Nous vous recommandons de faire une
mise à jour vers la distribution stable si ces vulnérabilités affectent votre
paramétrage.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 7.4.19-0etch1.
</p>
<p>
La distribution instable (<em>Sid</em>) ne contient plus de paquet
postgres-7.4.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets postgresql-7.4.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1463.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Déréférencement d'un pointeur vide</define-tag> <define-tag moreinfo> <p> Oriol Carreras a découvert qu'il était possible de tromper syslog-ng, un démon de journalisation de la prochaine génération, pour lui faire déréférencer un pointeur vide <i>via</i> des horodatages mal formés. Cela peut conduire à un déni de service et à camoufler une autre attaque qui aurait sinon été journalisée. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.0.0-1etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.0.6-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet syslog-ng. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1464.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Felipe Sateler a découvert qu'apt-listchanges, un outil de notification de l'historique des modifications d'un paquet, utilisait de chemins de fichiers peu sûrs lors de l'importation de ses bibliothèques python. Cela peut permettre l'exécution de commandes de shell arbitraires si le superutilisateur exécute la commande dans un répertoire où d'autres utilisateurs locaux peuvent écrire. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.72.5etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.82. </p> <p> Nous vous recommandons de mettre à jour votre paquet apt-listchanges. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1465.data"
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Le correctif de X.org pour <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6429";>\
CVE-2007-6429</a> a introduit une régression dans l'extension MIT-SHM ce qui
empêche le démarrages de quelques applications. Cette mise à jour fournit des
paquets pour la version de xfree86 incluse dans l'ancienne distribution stable
(<em>Sarge</em>) de Debian en plus des paquets corrigés pour la distribution
stable (<em>Etch</em>) qui étaient fournis dans le bulletin de sécurité
DSA 1466-2.
</p>
<p>
Pour mémoire, veuillez trouver le texte du bulletin initial ci-dessous :
</p>
<p>
Plusieurs vulnérabilités locales ont été découvertes dans le serveur X X.Org.
Le projet des expositions et vulnérabilités communes (CVE) identifie les
problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5760";>CVE-2007-5760</a>
<p>
<q>regenrecht</q> a découvert que des vérifications insuffisantes d'entrées
dans l'extension XFree86-Misc pouvaient conduire à une augmentation locale
des droits.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5958";>CVE-2007-5958</a>
<p>
On a découvert que des messages d'erreur de la gestion des fichiers de la
politique de sécurité pouvaient conduire à de petites fuites d'informations
divulguant l'existence de fichiers sinon inaccessibles à l'utilisateur.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6427";>CVE-2007-6427</a>
<p>
<q>regenrecht</q> a découvert que des vérifications insuffisantes d'entrées
dans l'extension XInput-Misc pouvaient conduire à une augmentation locale
des droits.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6428";>CVE-2007-6428</a>
<p>
<q>regenrecht</q> a découvert que des vérifications insuffisantes d'entrées
dans l'extension TOG-CUP pouvaient conduire à une augmentation locale des
droits.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6429";>CVE-2007-6429</a>
<p>
<q>regenrecht</q> a découvert que des débordements d'entiers dans les
extensions EVI et MIT-SHM pouvaient conduire à une augmentation locale des
droits.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0006";>CVE-2008-0006</a>
<p>
On a découvert qu'une validation insuffisante des polices de caractères PCF
pouvaient conduire à une augmentation locale des droits.
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 4.3.0.dfsg.1-14sarge7 de xfree86.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.1.1-21etch3 de xorg-server et la
version 1.2.2-2.etch1 de libxfont.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2:1.4.1~git20080118-1 de xorg-server et la
version 1:1.3.1-2 de libxfont.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets X.org ou Xfree86.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1466.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités a distance ont été découvertes dans Mantis, un système
de suivi des bogues basé sur la toile. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6574";>CVE-2006-6574</a>
<p>
Des champs personnalisés ne sont pas correctement protégés par un contrôle
d'accès au niveau des objets. Cela permet la publication de données
sensibles.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6611";>CVE-2007-6611</a>
<p>
Plusieurs problèmes de scripts intersites permettent à un attaquant distant
d'insérer du HTML ou des scripts malveillants dans des pages de Mantis.
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 0.19.2-5sarge5.
</p>
<p>
Pour la distribution stable (<em>Etch</em>) n'est pas affectée.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.0.8-4.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet mantis.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1467.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans le moteur JSP et
microserveur Tomcat. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0128";>CVE-2008-0128</a>
<p>
Olaf Kock a découvert que le chiffrement HTTPS n'était pas suffisamment
fort pour les <i>cookies</i> single-sign-on. Cela peut entraîner une
divulgation d'informations.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2450";>CVE-2007-2450</a>
<p>
On a découvert que les applications Manager et Host Manager ne réalisaient
pas de vérifications suffisantes des entrées. Cela peut conduire à des
attaquent par scripts intersites.
</p>
</li>
</ul>
<p>
Cette mise à jour adapte également le paquet tomcat5.5-webapps aux droits
restreints induits dans le bulletin de sécurité précédent sur tomcat5.5.
Cependant, il convient de noter que tomcat5.5-webapps ne sert qu'à fins de
démonstration et de documentation et ne devrait pas être utilisé sur des
systèmes de production.
</p>
<p>
L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet
tomcat5.5.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 5.5.20-2etch2.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes seront corrigés
prochainement.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets tomcat5.5.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1468.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Sean de Regge et Greg Linares ont découvert plusieurs débordements de mémoire tampon basés sur des zones de mémoire et sur la pile dans FLAC, le codec audio sans perte libre. Cela peut conduire à l'exécution de code arbitraire. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 1.1.1-5sarge1. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 1.1.2-8. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 1.2.1-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets flac. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1469.data"
Attachment:
signature.asc
Description: Digital signature