-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> On a découvert que lighttpd, un serveur pour la Toile rapide avec une empreinte mémoire minimale, de gérait pas correctement les erreurs SSL. Cela peut permettre à un attaquant distant de déconnecter toutes les connexions SSL actives. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.4.13-4etch7. </p> <p> Nous vous recommandons de mettre à jour votre paquet lighttpd. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1540.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans Open LDAP, une
implantation libre du protocole d'accès aux répertoires léger. Le projet des
expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5707";>CVE-2007-5707</a>
<p>
Thomas Sesselmann a découvert que slapd pouvait être planté par des
requêtes <em>modify</em> mal formées.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5708";>CVE-2007-5708</a>
<p>
Toby Blade a découvert qu'une gestion incorrecte de la mémoire dans
slapo-pcache pouvait conduire à un déni de service <i>via</i> des requêtes
<em>search</em> conçues spécialement.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6698";>CVE-2007-6698</a>
<p>
On a découvert qu'une erreur de programmation dans l'interface du dorsal de
stockage BDB pouvait conduire à un déni de service <i>via</i> des requêtes
<em>modify</em> conçues spécialement.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0658";>CVE-2008-0658</a>
<p>
On a découvert qu'une erreur de programmation dans l'interface du dorsal de
stockage BDB pouvait conduire à un déni de service <i>via</i> des requêtes
<em>modrdn</em> conçues spécialement.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.3.30-5+etch1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.4.7-6.1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets openldap2.3.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1541.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement d'entier</define-tag> <define-tag moreinfo> <p> Peter Valchev (de la sécurité de Google) a découvert une série de faiblesses par débordement d'entiers dans Cairo, une bibliothèque de rendu de graphiques vectoriels utilisée par de nombreuses applications. Si une application utilise Cairo pour dessiner une image PNG conçue de manière malveillante, cette vulnérabilité permet l'exécution de code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.2.4-4.1+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.4.10-1.1. </p> <p> Nous vous recommandons de mettre à jour votre paquet libcairo. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1542.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Luigi Auriemma, Alin Rad Pop, Rémi Denis-Courmont, Quovodis, Guido
Landi, Felipe Manzano, Anibal Sacco et d'autres ont découvert plusieurs
vulnérabilités dans vlc, une application de lecture et de diffusion de flux
audio et vidéo. Dans le pire des cas, ces faiblesses permettent à un attaquant
distant non authentifié d'exécuter du code arbitraire avec les droits de
l'utilisateur de vlc. Le projet des expositions et vulnérabilités communes
(CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6681";>CVE-2007-6681</a>
<p>
Une vulnérabilité par débordement de mémoire tampon dans la gestion des
sous-titres permet à un attaquant d'exécuter un code arbitraire <i>via</i>
l'ouverture d'un fichier MicroDVD, SSA ou Vplayer conçu de manière
malveillante.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6682";>CVE-2007-6682</a>
<p>
Une vulnérabilité par chaîne de formatage dans les capacité de contrôle à
distance par HTTP de l'application vlc permet à un attaquant distant non
authentifié d'exécuté du code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6683";>CVE-2007-6683</a>
<p>
La mauvaise validation d'arguments permet à un attaquant distant d'écraser
des fichiers arbitraires dans lesquels l'utilisateur de vlc peut écrire si
une liste de lecture M3U ou un fichier audio MP3 conçu de manière
malveillante est ouvert.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0295";>CVE-2008-0295</a>,
<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0296";>CVE-2008-0296</a>
<p>
Des débordements de mémoire tampon du système dans la gestion du protocole
de description de session (SDP) et de flux RTSP permet à un attaquant
d'exécuter du code arbitraire si un fluc RTSP conçu de manière malveillant
est lu.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0073";>CVE-2008-0073</a>
<p>
Une vérification de limite d'entier insuffisante dans la gestion SDP permet
l'exécution de code arbitraire <i>via</i> un paramètre ID de flux SDP dans
un flux RTSP conçu de manière malveillante
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0984";>CVE-2008-0984</a>
<p>
Une validation insuffisante d'intégrité dans le démultiplexeur MP4 permet à
un attaquant distant d'écraser des blocs de mémoire arbitraire et
d'exécuter du code arbitraire si un fichier MP4 conçu de manière
malveillante est ouvert.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1489";>CVE-2008-1489</a>
<p>
Une vulnérabilité par débordement d'entier dans la gestion MP4 permet à un
attaquant distant de causer un débordement de zone de mémoire tampon du
système. Cela entraîne un plantage et peut-être l'exécution de code
arbitraire si un fichier MP4 conçu de manière malveillante est ouvert.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 0.8.6-svn20061012.debian-5.1+etch2.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 0.8.6.e-2.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets vlc.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1543.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Défaut de conception</define-tag> <define-tag moreinfo> <p> Amit Klein a découvert que pdns-recursor, un outil de résolution de cache DNS, utilisait un générateur de nombres aléatoires faible pour créer les identifiants de transactions DNS et les numéros de ports sources UDP. En conséquence, les attaques par empoisonnement du cache sont facilités <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1637";>\ CVE-2008-1637</a> et <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3217";>\ CVE-2008-3217</a>). </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 3.1.4-1+etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 3.1.7-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet pdns-recursor. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1544.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Débordement d'entier</define-tag> <define-tag moreinfo> <p> Sebastian Krahmer a découvert qu'un débordement d'entier dans le code de rsync pour la gestion des attributs étendus pouvait conduire à l'exécution de code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.6.9-2etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 3.0.2-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet rsync. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1545.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement d'entier</define-tag> <define-tag moreinfo> <p> Thilo Pfennig et Morten Welinder ont découvert plusieurs faiblesses par débordement d'entier dans Gnumric, une application de tableur pour Gnome. Ces vulnérabilités peuvent entraîner l'exécution de code arbitraire <i>via</i> l'ouverture d'une feuille de calculs Excel conçue spécialement. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.6.3-5+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.8.1-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet gnumeric. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1546.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs problèmes liés à la sécurité ont été découverts dans OpenOffice.org,
la suite de bureautique libre. Le projet des expositions et vulnérabilités
communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5745";>CVE-2007-5745</a>,
<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5747";>CVE-2007-5747</a>
<p>
Plusieurs bogues ont été découverts dans la manière d'OpenOffice.org
d'analyser les fichiers Quattro Pro. Cela peut conduire à un débordement
dans une zone de mémoire du système qui peut entraîner l'exécution de code
arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5746";>CVE-2007-5746</a>
<p>
Un fichier EMF conçu spécifiquement peut déclencher un débordement de
mémoire tampon dans la zone de mémoire du système. Cela peut entraîner
l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0320";>CVE-2008-0320</a>
<p>
Un bogue a été découvert dans le traitement des fichiers OLE. Cela peut
causer un débordement de mémoire tampon dans la zone de mémoire du système
et peut-être conduire à l'exécution de code arbitraire.
</p>
</li>
</ul>
<p>
Les problèmes signalés récemment dans la bibliothèque ICU sont corrigés dans
des paquets libicu distincts par le <a href="dsa-1511">bulletin de sécurité
Debian n° 1511</a>, bibliothèque à laquelle OpenOffice.org est liée.
</p>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 1.1.3-9sarge9.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.0.4.dfsg.2-7etch5.
</p>
<p>
Pour les distributions de test (<em>Lenny</em>) et instable(<em>Sid</em>), ces
problèmes ont été corrigés dans la version 2.4.0~ooh680m5-1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets openoffice.org.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1547.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Kees Cook a découvert une vulnérabilité dans xpdf, un ensemble d'outils pour
afficher et convertir des fichiers au format de documents portable (PDF). Le
projet des expositions et vulnérabilités communes (CVE) identifie le problème
suivant :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1693";>CVE-2008-1693</a>
<p>
La gestion par xpdf des polices de caractères embarquées manque de
validation suffisante et de vérification de type. Si un fichier PDF conçu
de manière malicieuse est ouvert, cette vulnérabilité peut permettre
l'exécution de code arbitraire avec les privilèges de l'utilisateur de
xpdf.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 3.01-9.1+etch4.
</p>
<p>
Pour la distribution instable(<em>Sid</em>), ces problèmes ont été corrigés
dans la version 3.02-1.2.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet xpdf.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1548.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio"
<define-tag description>Débordements d'entiers</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans la boîte à outils
antivirus Clam. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0314";>CVE-2008-0314</a>
<p>
Damian Put a découvert qu'un débordement d'entier dans le gestionnaire des
binaires PeSpin pouvait conduire à l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1100";>CVE-2008-1100</a>
<p>
Alin Rad Pop a découvert qu'un débordement d'entier dans le gestionnaire des binaires
Upack PE pouvait conduire à l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1833";>CVE-2008-1833</a>
<p>
Damian Put et Thomas Pollet ont découvert qu'un débordement d'entier dans
le gestionnaire des binaires compressés avec WWPack pouvait conduire à
l'exécution de code arbitraire.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 0.90.1dfsg-3etch11.
</p>
<p>
Pour la distribution instable(<em>Sid</em>), ces problèmes ont été corrigés
dans la version 0.92.1~dfsg2-1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets clamav.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1549.data"
Attachment:
signature.asc
Description: Digital signature