-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert que phpGedView, une application pour fournir un accès en ligne à des données généalogiques, permettait à un attaquant distant d'obtenir les droits de l'administrateur à cause d'une erreur de programmation. </p> <p> <em>Note :</em> Ce problème était un défaut de conception fondamental dans l'interface de connexion de phpGedView avec des programmes externes comme les systèmes de gestion de contenu. La résolution de ce problème n'a été possible qu'en revoyant intégralement l'interface de programmation d'application, ce qui n'est pas considéré comme approprié pour une mise à jour de sécurité. Comme il s'agit de fonctions périphériques qui ne sont probablement pas utilisées par une grande majorité d'utilisateurs du paquet, il a été décidé de supprimer ces interfaces. Si vous avez tout de même besoin de ces interfaces, vous devriez utiliser une version de phpGedView rétroporté depuis Lenny, avec une interface complètement revue. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 4.0.2.dfsg-4. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 4.1.e+4.1.5-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet phpgedview. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1580.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales ont été découvertes dans GNUTLS, une
implantation de l'ensemble de protocoles SSL/TLS.
</p>
<em>Note </em> Le paquet libgnutls13, qui fournit la bibliothèque GNUTLS,
ne contient pas de méthode pour redémarrer automatiquement les services
potentiellement affectés. Vous devrez redémarrer manuellement les services
affectés (principalement Exim, avec <q>/etc/init.d/exim4 restart</q>) après
l'application de la mise à jour pour rendre ces changements totalement
opérationnels. Vous pouvez également redémarrer le système.
</p>
<p>
Le projet des expositions et vulnérabilités communes (CVE) identifie les
problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1948";>CVE-2008-1948</a>
<p>
Un débordement de zone mémoire du système de préauthentification
impliquant des données de reprise de session trop grandes peut conduire à
l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1949";>CVE-2008-1949</a>
<p>
Des <em>hellos</em> de client répétés peuvent entraîner une situation de
déni de service de préauthentification à cause du déréférencement d'un
pointeur NULL.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1950";>CVE-2008-1950</a>
<p>
Le décodage de données de remplissage du chiffrement avec une longueur
d'enregistrement invalide peut faire lire à GNUTLS de la mémoire au-delà de
la fin de l'enregistrement reçu. Cela conduit à une situation de déni de
service de préauthentification.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.4.4-3+etch1. Les constructions pour l'architecture arm
ne sont actuellement pas disponibles et seront publiées plus tard.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes seront corrigés
prochainement.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets de GNUTLS.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1581.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Nico Golde a découvert que PeerCast, un serveur de flux audio et vidéo de pair à pair, était vulnérable à un débordement de mémoire tampon dans le code d'authentification HTTP basique. Cela permet à un attaquant distant de faire planter PeerCast ou d'exécuter du code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.1217.toots.20060314-1etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.1218+svn20080104-1.1. </p> <p> Nous vous recommandons de mettre à jour votre paquet peercast. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1582.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Débordements de mémoire tampon</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans PeerCast pour
Gnome, l'interface Gnome à PeerCasr, un serveur de flux audio et vidéo de pair
à pair. Le projet des expositions et vulnérabilités communes (CVE) identifie
les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6454";>CVE-2007-6454</a>
<p>
Luigi Auriemma a découvert que PeerCast était vulnérable à un débordement
de zone de mémoire système dans le code du serveur HTTP. Cela permet à un
attaquant distant de causer un déni de service et peut-être d'exécuter du
code arbitraire <i>via</i> une longue requête SOURCE.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2040";>CVE-2008-2040</a>
<p>
Nico Golde a découvert que PeerCast, un serveur de flux audio et vidéo de
pair à pair, était vulnérable à un débordement de mémoire tampon dans le
code d'authentification HTTP basique. Cela permet à un attaquant distant de
faire planter PeerCast ou d'exécuter du code arbitraire.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 0.5.4-1.1etch0.
</p>
<p>
La distribution instable (<em>Sid</em>) ne contient plus de paquet
gnome-peercast.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet gnome-peercast.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1583.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> On a découvert que libfishsound, une interface de programmation simple qui enveloppe les codecs audio Xiph.Org, ne gérait pas correctement les valeurs négatives dans un champ d'en-tête particulier. Cela peut permettre à un fichier malveillant d'exécuter du code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.7.0-2etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.7.0-2.2. </p> <p> Nous vous recommandons de mettre à jour votre paquet libfishsound. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1584.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement d'entier</define-tag> <define-tag moreinfo> <p> On a découvert que speex, les outils en ligne de commande du codec Speex, ne gérait pas correctement un décalage négatif dans un champ d'en-tête particulier. Cela peut permettre à un fichier malveillant d'exécuter du code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.1.12-3etch1. </p> <p> Nous vous recommandons de mettre à jour votre paquet speex. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1585.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans xine-lib, une
bibliothèque qui fournit la plupart des fonctionnalités applicatives du lecteur
multimédia xine. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1482";>CVE-2008-1482</a>
<p>
Des vulnérabilités par débordement d'entiers existent dans les
démultiplexeurs FLV, QuickTime, RealMedia, MVE et CAK de xine, ainsi que
dans l'analyseur EBML utilisé par le démultiplexeur Matroska. Ces faiblesses
permettent à un attaquant de faire déborder des tampons de mémoire du
système et potentiellement d'exécuter du code arbitraire en fournissant un
fichier de ces types conçu de manière malveillante.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1686";>CVE-2008-1686</a>
<p>
Une validation insuffisante des entrées dans l'implantation de Speex
utilisée par cette version de xine permet un accès à un tableau invalide et
l'exécution de code arbitraire en fournissant un fichier Speex conçu de
manière malveillante.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1878";>CVE-2008-1878</a>
<p>
La vérification inadéquate de limites dans le démultiplexeur du format de
son NES (NSF) permet un débordement de mémoire tampon de pile et
l'exécution de code arbitraire <i>via</i> un fichier NSF conçu de manière
malveillante.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.1.2+dfsg-7.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.1.12-2.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets xine-lib.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1586.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Adam Zabrocki a découvert que dans certaines circonstances mtr, un outil de traçage de routes réseau plein écran en ncurse et pour X11, pouvait être trompé et exécuter du code arbitraire <i>via</i> des enregistrements de DNS inversé excessivement longs. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.71-2etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.73-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet mtr. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1587.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Déni de service</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans le noyau Linux. Cela peut
conduire à un déni de service. Le projet des expositions et vulnérabilités
communes (CVE) identifie le problème suivant :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6712";>CVE-2007-6712</a>
<p>
Johannes Bauer a découvert une situation de débordement d'entier dans le
sous-système hrtimer sur les systèmes 64 bits. Cela peut être exploité
par un utilisateur local pour déclencher un déni de service en faisant
exécuter une boucle sans fin au noyau.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1615";>CVE-2008-1615</a>
<p>
Jan Kratochvil a signalé une situation de déni de service local qui permet
à un utilisateur local sur un système utilisant la version amd64 du noyau
de générer un plantage du système.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2136";>CVE-2008-2136</a>
<p>
Paul Harks a découvert une fuite de mémoire dans le code de <i>Simple
Internet Transition</i> (SIT) utilisé pour les tunnels IPv6 sur IPv4. Cela
peut être exploité par un utilisateur distant pour causer une situation de
déni de service.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2137";>CVE-2008-2137</a>
<p>
David Miller et Jan Lieskovsky ont découvert des problèmes avec la
vérification d'étendue d'adresses virtuelles des régions mmapées sur
l'architecture sparc. Cela peut être exploité par un utilisateur local pour
causer un déni de service.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.6.18.dfsg.1-18etch5.
</p>
<p>
Les construction des paquets linux-2.6 pour l'architecture s390 et fai-kernels
pour powerpc n'étaient pas encore disponible au moment de ce bulletin de
sécurité. Ce bulletin sera amendé dès qu'elles seront disponibles.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets linux-2.6, fai-kernels et
user-mode-linux.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1588.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> On a découvert que libxslt, une bibliothèque d'exécution de traitement XSLT, pouvait être contrainte à l'exécution de code arbitraire <i>via</i> un débordement de mémoire tampon lorsqu'une feuille de style XSL avec une condition de <q>correspondance de transformation</q> XSLT longue déclenchait un un grand nombre d'étapes. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.1.19-2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.1.24-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet libxslt. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1589.data"
Attachment:
signature.asc
Description: Digital signature