-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert que suphp, un module Apache pour utiliser un scripts PHP avec les droits de son détenteur, gérait les liens symboliques de manière peu sûre. Cela peut conduire à une augmentation des droits d'un utilisateur local. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.6.2-1+etch0. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour votre paquet suphp. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1550.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans l'interpréteur du langage
Python. Le projet des expositions et vulnérabilités communes (CVE) identifie
les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2052";>CVE-2007-2052</a>
<p>
Piotr Engelking a découvert que la fonction strxfrm() du module
<em>locales</em> calculait mal la longueur d'un tampon de mémoire
interne. Cela peut entraîner la divulgation d'informations mineures.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4965";>CVE-2007-4965</a>
<p>
On a découvert que plusieurs débordements d'entiers dans le module
<em>imageop</em> pouvaient conduire à l'exécution de code arbitraire si un
utilisateur trompé traite une image mal formée. Ce problème est également
suivi sous le n° <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1679";>\
CVE-2008-1679</a> à cause d'un correctif initialement incomplet.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1721";>CVE-2008-1721</a>
<p>
Justin Ferguson a découvert qu'un débordement de mémoire tampon dans le
module <em>zlib</em> pouvait conduire à l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1887";>CVE-2008-1887</a>
<p>
Justin Ferguson a découvert qu'une validation insuffisante des entrées dans
PyString_FromStringAndSize() pouvait conduire à l'exécution de code
arbitraire.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.4.4-3+etch1.
</p>
<p>
Pour la distribution instable(<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.4.5-2.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets python2.4.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1551.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Vérifiacation d'entrée manquante</define-tag> <define-tag moreinfo> <p> On a découvert que le lecteur vidéo MPlayer ne réalisait pas de vérification suffisante des entrées sur les données de session SDP. Cela conduit à la potentielle exécution de code arbitraire <i>via</i> un flux multimédia mal formé. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.0~rc1-12etch3. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.0~rc2-10. </p> <p> Nous vous recommandons de mettre à jour votre paquet mplayer. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1552.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Falsification de requête intersite</define-tag> <define-tag moreinfo> <p> On a découvert qu'ikiwiki, une implantation de Wiki, ne protégeait pas la modification de mot de passe et de contenu contre une attaque par falsification de requête intersite. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.33.5. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.42. </p> <p> Nous vous recommandons de mettre à jour votre paquet ikiwiki. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1553.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Validation d'entrée manquante</define-tag> <define-tag moreinfo> <p> Roundup, un système de suivi de problèmes, ne protège pas correctement les entrées HTML. Cela permet à un attaquant d'injecter du code à exécuter côté client (typiquement du JavaScript) dans un document qui peut être vu sur le navigateur de la victime. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.2.1-5+etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.3.3-3.1. </p> <p> Nous vous recommandons de mettre à jour vos paquets roundup. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1554.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert que des plantages dans le moteur de JavaScript d'Iceweasel, une version en marque blanche du navigateur Firefox, couvait conduire à l'exécution de code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.0.0.14-0etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.0.0.14-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet iceweasel. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1555.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de zone de mémoire tampon du système</define-tag> <define-tag moreinfo> <p> On a découvert que l'interpréteur Perl pouvait rencontrer une situation de débordement de mémoire tampon lors de la compilation de certaines expressions rationnelles contenant des caractères Unicodes. Cela arrive aussi si les caractères problématiques sont contenus dans une référence de variable protégée par la construction de citation \Q...\E. En général, lorsqu'il rencontre une telle situation, l'interpréteur Perl se plante, mais l'exécution de code arbitraire ne peut pas être exclue totalement. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 5.8.8-7etch3. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour vos paquets perl. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1556.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Vérification d'entrée manquante</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans phpMyAdmin, une
application d'administration de MySQL sur la Toile. Le projet des expositions
et vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1924";>CVE-2008-1924</a>
<p>
Un attaquant avec les droits <q>CREATE table</q> peut lire des fichiers
arbitraires lisibles par le serveur web par l'intermédiaire d'une requête
HTTP POST conçue spécifiquement.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1567";>CVE-2008-1567</a>
<p>
Le fichier de données de session PHP stocke le nom d'utilisateur et le mot
de passe d'un utilisateur connecté. Avec certaines configurations, il peut
être lu par un utilisateur local.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1149";>CVE-2008-1149</a>
<p>
Des injections de script intersite et de code SQL sont possibles par un
attaquant qui a le droit de créer des cookies dans le même domaine de
cookies que phpMyAdmin.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 4:2.9.1.1-7.
</p>
<p>
Pour la distribution instable(<em>Sid</em>), ces problèmes ont été corrigés
dans la version 4:2.11.5.2-1.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet phpmyadmin.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1557.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert que des plantages dans le moteur de Javascript de Xulrunner, la bibliothèque du moteur Gecko, pouvait conduire à l'exécution de code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.8.0.15~pre080323b-0etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.8.1.14-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets xulrunner. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1558.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Validation d'entrée manquante</define-tag> <define-tag moreinfo> <p> On a découvert que phpGedView, une application pour fournir un accès en ligne à des données généalogiques, ne réalisait pas de validation suffisante des entrées sur certains paramètres. Cela la rend vulnérable à des attaques par site intersite. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 4.0.2.dfsg-3. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 4.1.e+4.1.1-2. </p> <p> Nous vous recommandons de mettre à jour votre paquet phpgedview. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1559.data"
Attachment:
signature.asc
Description: Digital signature