-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales et distantes ont été découvertes dans cupsys,
le système d'impression standard d'Unix. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0047";>CVE-2008-0047</a>
<p>
Un débordement de mémoire tampon basé sur une zone de mémoire du système
dans Cups, lorsque le partage d'imprimantes est activé, permet à un
attaquant distant d'exécuter du code arbitraire par l'intermédiaire
d'expressions de recherche conçues spécialement.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0882";>CVE-2008-0882</a>
<p>
Une vulnérabilité de double libération de mémoire dans la fonction
process_browse_data de la version 1.3.5 de Cups permet à un attaquant
distant de générer un déni de service (plantage du démon) et peut-être
d'exécuter du code arbitraire par l'intermédiaire de paquets conçus
spécialement et envoyés sur le port de cupsd (631/udp). Cela est lié à une
manipulation non spécifiée d'une imprimante distante.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.2.7-4etch3.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets cupsys.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1530.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio" <define-tag description>Fichiers temporaires peu sûrs</define-tag> <define-tag moreinfo> <p> Chris Howells a découvert que policyd-weight, un démon de règles pour l'agent de transport de courriels Postfix, créait son socket de manière peu sûre. Cela peut être exploité pour écraser ou supprimer des fichiers arbitraires du système local. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet policyd-weight. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.1.14-beta-6etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour votre paquet policyd-weight. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1531.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
# Beaucoup de texte est commun aux dsa 1534, 1535 et 1574
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans Xulrunner, un
environnement d'exécution pour les applications XUL. Le projet des expositions
et vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4879";>CVE-2007-4879</a>
<p>
Peter Brodersen et Alexander Klink ont découvert que la sélection
automatique des certificats de clients SSL pouvait conduire à l'attaque
d'un utilisateur. Cela peut entraîner la divulgation de de données
personnelles.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1233";>CVE-2008-1233</a>
<p>
<q>moz_bug_r_a4</q> a découvert que des variantes de <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3738";>\
CVE-2007-3738</a> et de <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5338";>\
CVE-2007-5338</a> permettaient l'exécution de code arbitraire <i>via</i>
XPCNativeWrapper.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1234";>CVE-2008-1234</a>
<p>
<q>moz_bug_r_a4</q> a découvert que la gestion peu sûre de gestionnaires
d'événements pouvait conduire à des attaques par script intersite.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1235";>CVE-2008-1235</a>
<p>
Boris Zbarsky, Johnny Stenback et <q>moz_bug_r_a4</q> ont découvert que la
gestion principale incorrecte pouvait conduire à des attaques par script
intersite et à l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1236";>CVE-2008-1236</a>
<p>
Tom Ferris, Seth Spitzer, Martin Wargers, John Daggett et Mats Palmgren ont
découvert des plantages dans le moteur de rendu. Cela peut permettre
l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1237";>CVE-2008-1237</a>
<p>
<q>georgi</q>, <q>tgirmann</q> et Igor Bukanov ont découverts des plantages
dans le moteur JavaScript. Cela peut permettre l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1238";>CVE-2008-1238</a>
<p>
Gregory Fleischer a découvert que les en-têtes HTTP Referrer étaient gérés
de manière incorrecte en association avec des URL contenant des identités
d'authentification basique ayant des noms d'utilisateurs vides. Cela peut
entraîner des attaques de contrefaçon de requêtes intersites.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1240";>CVE-2008-1240</a>
<p>
Gregory Fleischer a découvert que le contenu de la Toile récupéré par le
protocole jar: pouvait utiliser Java pour se connecter à des ports
arbitraires. Cela n'est un problème qu'en association avec le module Java
non libre.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1241";>CVE-2008-1241</a>
<p>
Chris Thomas a découvert que les onglets en arrière-plan pouvaient générer
des fenêtres surgissantes au-dessus de l'onglet actuel. Cela peut permettre
des attaques par usurpation.
</p>
</li>
</ul>
<p>
L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet
xulrunner.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.8.0.15~pre080323b-0etch1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.8.1.13-1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets xulrunner.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1532.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio"
<define-tag description>Vérification des entrées manquante</define-tag>
<define-tag moreinfo>
<p>
Christian Schmid et Meder Kydyraliev (de la sécurité de Google) ont découvert
un certain nombre de vulnérabilités dans exiftags, un utilitaire d'extraction
des métadonnées Exif des images JPEG. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6354";>CVE-2007-6354</a>
<p>
La validation inadéquate de propriétés Exif peut conduire à des accès
mémoire invalides si elle est exécuté sur une image conçue de manière
malveillante. Cela peut inclure la corruption de zones de mémoire du
système et l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6355";>CVE-2007-6355</a>
<p>
La validation de données défectueuses peut conduire à des débordements
d'entiers. Cela peut causer d'autres accès mémoire invalides, ainsi qu'une
possible corruption de mémoire ou l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6356";>CVE-2007-6356</a>
<p>
Des références Exif cycliques de répertoires de fichiers d'images peuvent
cause un déni de service (boucle sans fin).
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 0.98-1.1+0sarge1.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 0.98-1.1+etch1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.01-0.1.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet exiftags.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1533.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
# Beaucoup de texte est commun aux dsa 1532, 1535 et 1574
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans la suite internet
Iceape, une version en marque blanche de la suite internet Seamonkey. Le projet
des expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4879";>CVE-2007-4879</a>
<p>
Peter Brodersen et Alexander Klink ont découvert que la sélection
automatique des certificats de clients SSL pouvait conduire à l'attaque
d'un utilisateur. Cela peut entraîner la divulgation de de données
personnelles.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1233";>CVE-2008-1233</a>
<p>
<q>moz_bug_r_a4</q> a découvert que des variantes de <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3738";>\
CVE-2007-3738</a> et de <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5338";>\
CVE-2007-5338</a> permettaient l'exécution de code arbitraire <i>via</i>
XPCNativeWrapper.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1234";>CVE-2008-1234</a>
<p>
<q>moz_bug_r_a4</q> a découvert que la gestion peu sûre de gestionnaires
d'événements pouvait conduire à des attaques par script intersite.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1235";>CVE-2008-1235</a>
<p>
Boris Zbarsky, Johnny Stenback et <q>moz_bug_r_a4</q> ont découvert que la
gestion principale incorrecte pouvait conduire à des attaques par script
intersite et à l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1236";>CVE-2008-1236</a>
<p>
Tom Ferris, Seth Spitzer, Martin Wargers, John Daggett et Mats Palmgren ont
découvert des plantages dans le moteur de rendu. Cela peut permettre
l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1237";>CVE-2008-1237</a>
<p>
<q>georgi</q>, <q>tgirmann</q> et Igor Bukanov ont découverts des plantages
dans le moteur JavaScript. Cela peut permettre l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1238";>CVE-2008-1238</a>
<p>
Gregory Fleischer a découvert que les en-têtes HTTP Referrer étaient gérés
de manière incorrecte en association avec des URL contenant des identités
d'authentification basique ayant des noms d'utilisateurs vides. Cela peut
entraîner des attaques de contrefaçon de requêtes intersites.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1240";>CVE-2008-1240</a>
<p>
Gregory Fleischer a découvert que le contenu de la Toile récupéré par le
protocole jar: pouvait utiliser Java pour se connecter à des ports
arbitraires. Cela n'est un problème qu'en association avec le module Java
non libre.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1241";>CVE-2008-1241</a>
<p>
Chris Thomas a découvert que les onglets en arrière-plan pouvaient générer
des fenêtres surgissantes au-dessus de l'onglet actuel. Cela peut permettre
des attaques par usurpation.
</p>
</li>
</ul>
<p>
Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution
stable (<em>Sarge</em>) ne sont plus fournies.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.0.13~pre080323b-0etch1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets iceape.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1534.data"
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio"
# Beaucoup de texte est commun aux dsa 1532, 1534 et 1574
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans Iceweasel, une
version en marque blanche du navigateur Firefox. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4879";>CVE-2007-4879</a>
<p>
Peter Brodersen et Alexander Klink ont découvert que la sélection
automatique des certificats de clients SSL pouvait conduire à l'attaque
d'un utilisateur. Cela peut entraîner la divulgation de de données
personnelles.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1233";>CVE-2008-1233</a>
<p>
<q>moz_bug_r_a4</q> a découvert que des variantes de <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3738";>\
CVE-2007-3738</a> et de <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5338";>\
CVE-2007-5338</a> permettaient l'exécution de code arbitraire <i>via</i>
XPCNativeWrapper.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1234";>CVE-2008-1234</a>
<p>
<q>moz_bug_r_a4</q> a découvert que la gestion peu sûre de gestionnaires
d'événements pouvait conduire à des attaques par script intersite.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1235";>CVE-2008-1235</a>
<p>
Boris Zbarsky, Johnny Stenback et <q>moz_bug_r_a4</q> ont découvert que la
gestion principale incorrecte pouvait conduire à des attaques par script
intersite et à l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1236";>CVE-2008-1236</a>
<p>
Tom Ferris, Seth Spitzer, Martin Wargers, John Daggett et Mats Palmgren ont
découvert des plantages dans le moteur de rendu. Cela peut permettre
l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1237";>CVE-2008-1237</a>
<p>
<q>georgi</q>, <q>tgirmann</q> et Igor Bukanov ont découverts des plantages
dans le moteur JavaScript. Cela peut permettre l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1238";>CVE-2008-1238</a>
<p>
Gregory Fleischer a découvert que les en-têtes HTTP Referrer étaient gérés
de manière incorrecte en association avec des URL contenant des identités
d'authentification basique ayant des noms d'utilisateurs vides. Cela peut
entraîner des attaques de contrefaçon de requêtes intersites.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1240";>CVE-2008-1240</a>
<p>
Gregory Fleischer a découvert que le contenu de la Toile récupéré par le
protocole jar: pouvait utiliser Java pour se connecter à des ports
arbitraires. Cela n'est un problème qu'en association avec le module Java
non libre.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1241";>CVE-2008-1241</a>
<p>
Chris Thomas a découvert que les onglets en arrière-plan pouvaient générer
des fenêtres surgissantes au-dessus de l'onglet actuel. Cela peut permettre
des attaques par usurpation.
</p>
</li>
</ul>
<p>
Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution
stable (<em>Sarge</em>) ne sont plus fournies.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.0.0.13-0etch1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets iceweasel.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1535.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales ont été découvertes dans Xine, une
bibliothèque de lecteur multimédia. Cela permet un déni de service ou
l'exécution de code arbitraire qui peuvent être exploités <i>via</i> la
visualisation de contenu malveillant. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1246";>CVE-2007-1246</a> /
<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1387";>CVE-2007-1387</a>
<p>
La fonction DMO_VideoDecoder_Open ne positionne pas biSize avant de
l'utiliser dans un memcpy. Cela permet à un attaquant distant assisté d'un
utilisateur de causer un débordement de mémoire tampon et peut-être
d'exécuter du code arbitraire (ne concerne que <em>Sarge</em>)
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0073";>CVE-2008-0073</a>
<p>
Une erreur d'index de tableau dans la fonction sdpplin_parse permet à un
serveur RTSP distant d'exécuter du code arbitraire par l'intermédiaire d'un
paramètre SDP streamidi long.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0486";>CVE-2008-0486</a>
<p>
Une vulnérabilité d'index de tableau dans libmpdemux/demux_audio.c peut
permettre à un attaquant distant d'exécuter du code arbitraire par
l'intermédiaire d'une étiquette FLAC conçues spécialement. Cela peut
déclencher un débordement de mémoire tampon (ne concerne qu'<em>Etch</em>).
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1161";>CVE-2008-1161</a>
<p>
Un débordement de mémoire tampon dans le démultiplexeur Matroska permet à
un attaquant distant de causer un déni de service (plantage) et peut-être
d'exécuter du code arbitraire par l'intermédiaire d'un fichier Matroska
ayant des tailles d'images invalides.
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 1.0.1-1sarge7.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.1.2+dfsg-6.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.1.11-1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets xine-lib.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1536.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Alin Rad Pop (de Secunia) a découvert un certain nombre de vulnérabilités dans
xpdf, un ensemble d'outils pour afficher et convertir des fichiers au format de
documents portable (PDF). Le projet des expositions et vulnérabilités communes
(CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4352";>CVE-2007-4352</a>
<p>
La validation inadéquate du flux DCT permet à un attaquant de corrompre de
la mémoire et peut-être d'exécuter du code arbitraire en fournissant un
fichier PDF conçu de manière malveillante.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5392";>CVE-2007-5392</a>
<p>
Une vulnérabilité de débordement d'entier dans la gestion des flux DCT peut
permettre à un attaquant de faire déborder une zone de mémoire tampon du
système. Cela permet l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5393";>CVE-2007-5393</a>
<p>
Une vulnérabilité de débordement de mémoire tampon dans les gestionnaires
de compression d'images CCITT de xpdf permet un débordement de zone de
mémoire du système. Cela permet à un attaquant d'exécuter un code
arbitraire en fournissant un filtre CCITTFaxDecode conçu de manière
malveillante.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 3.01-9.1+etch2.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 3.02-1.3.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets xpdf.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1537.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Erik Sjölund a découvert une vulnérabilité par débordement de mémoire tampon dans le module d'entrée Ogg Vorbis de l'application de lecture audio alsaplayer. L'exploitation réussie de cette vulnérabilité par l'ouverture d'un fichier Vorbis conçu de manière malveillante peut permettre l'exécution de code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.99.76-9+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.99.80~rc4-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet alsaplayer. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1538.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Chris Schmidt et Daniel Morissette ont découvert deux vulnérabilités dans
mapserver, un environnement de développement pour des applications spatiales et
de cartographie. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4542";>CVE-2007-4542</a>
<p>
Le manque de vérification des entrée et de protection des sorties dans les
routines de gestions des gabarits et de signalement des erreurs du CGI
mapserver conduit à des vulnérabilités de script intersite.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4629";>CVE-2007-4629</a>
<p>
La non-vérification des limites dans la gestion des gabarits de mapserver
conduit à une vulnérabilité par débordement de mémoire tampon basé sur la
pile. Cela permet à un attaquant distant d'exécuter du code arbitraire avec
les droits de l'utilisateur CGI ou httpd.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 4.10.0-5.1+etch2.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 4.10.3-1.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet mapserver.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1539.data"
Attachment:
signature.asc
Description: Digital signature