One DSA a day? Merci d'avance aux relecteurs. Je précise de suite que j'ai eu un gros doute sur : « attribute value pair (AVP). » -- Olaf'
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Péteul"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans NET SNMP, une suite
d'applications Simple Network Management Protocol. Voici ci-dessous
l'intégralité du bulletin précédent :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0960";>CVE-2008-0960</a>
<p>Wes Hardaker a signalé que la vérification HMAC de SNMPv3 se fie au
client pour spécifier la longueur de HMAC, ce qui permet l'usurpation de
paquets SNMPv3 authentifiés.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2292";>CVE-2008-2292</a>
<p>John Kortink a signal un dépassement de tampon dans la fonction
__snprint_value dans snmp_get provoquant un déni de service et autorisant
potentiellement l'exécution de code arbitraire via un grand OCTETSTRING
dans un pair valeur attribut (AVP).</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4309";>CVE-2008-4309</a>
<p>Il a été signalé qu'un dépassement d'entier dans la fonction
netsnmp_create_subtree_cache dans agent/snmp_agent.c permet à des
attaquants à distance de lancer une attaque de type déni de service via
une requête SNMP GETBULK artisanale.</p></li>
</ul>
<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la
version 5.2.3-7etch4.</p>
<p>Pour la distribution de test (Lenny) et la distribution instable (Sid), ces
problèmes ont été corrigés dans la version 5.4.1~dfsg-11.</p>
<p>Nous vous recommandons de mettre à jour votre paquet net-snmp.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1663.data"
Attachment:
signature.asc
Description: OpenPGP digital signature