Re: [RFR] wml://security/2009/dsa-17{21,22,23,24}.wml

[Thomas Péteul <olaf@resel.fr>]

Jean-Edouard Babin a écrit :
> Les dernières DSA en date
> 

Une relecture, commitée dans le CVS.

-- 
Olaf'

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités locales ont été découvertes dans le module PAM du
MIT Kerberos. Le projet « Common Vulnerabilities and Exposures » (CVE)
identifie les problèmes suivants :</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0360";>CVE-2009-0360</a>

   <p>Russ Allbery a découvert que le module PAM Kerberos analysait les
   paramètres de configuration des variables d'environnement lorsqu'il est
   exécuté à partir d'un contexte setuid. Cela pourrait conduire à une
   augmentation de privilèges locaux si un attaquant lance un programme setuid
   utilisant une authentification PAM via un serveur Kerberos sous son
   contrôle.</p></li>



<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0361";>CVE-2009-0361</a>

   <p>Derek Chan a découvert que le module PAM Kerberos permet la
   réinitialisation de l'identification d'un utilisateur lorsqu'il est exécuté à
   partir d'un contexte setuidi. Ceci entraîne des risques d'un déni de service
   local en écrasant le fichier cache d'identification ou une augmentation de
   privilèges locaux.</p></li>


</ul>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la
version 2.6-1etch1.</p>

<p>Pour la distribution stable a venir (Lenny), ces problèmes ont été corrigés
dans la version 3.11-4.</p>

<p>Pour la distribution unstable (Sid), ces problèmes seront corrigés
prochainement.</p>

<p>Nous vous recommandons de mettre à jour votre paquet libpam-krb5.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1721.data"
# $Id: dsa-1721.wml,v 1.1 2009/02/12 23:21:00 spaillar Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>
Derek Chan a découvert que le module PAM pour l'implémentation Heimdal
Kerberos permet la réinitialisation de l'identification de l'utilisateur
lorsqu'il est exécuté à partir d'un contexte setuid. Ceci entraîne des risques
de déni de service local en écrasant le fichier cache d'identification ou
une augmentation de privilèges locaux.</p>

<p>Pour la distribution stable (Etch), ce problème a été corrigé dans la
version 2.5-1etch1.</p>

<p>Pour la distribution stable a venir (Lenny), ce problème a été corrigé dans
la version 3.10-2.1.</p>

<p>Pour la distribution unstable (Sid), ce problème sera corrigé
prochainement.</p>

<p>Nous vous recommandons de mettre à jour votre paquet libpam-heimdal.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1722.data"
# $Id: dsa-1722.wml,v 1.1 2009/02/12 23:21:00 spaillar Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>Vérification d'entrée manquante</define-tag>
<define-tag moreinfo>
<p>Michael Brooks a découvert que phpMyAdmin, un outil pour l'administration
des bases MySQL via une interface web, n'effectue pas assez de vérifications
sur les entrées. Ceci permet à une personne malveillante d'exécuter du code
sur le serveur web.</p>

<p>Pour la distribution stable (Etch), ce problème a été corrigé dans la
version 2.9.1.1-10.</p>

<p>Pour la distribution testing (Lenny) et la distribution unstable (Sid), ce
problème a été corrigé dans la version 2.11.8.1-5.</p>

<p>Nous vous recommandons de mettre à jour votre paquet phpmyadmin.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1723.data"
# $Id: dsa-1723.wml,v 1.1 2009/02/12 23:21:00 spaillar Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Moodle, un outil de
gestion de cours en ligne. Le projet « Common Vulnerabilities and Exposures »
(CVE) identifie les problèmes suivants :</p>

<ul>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0500";>CVE-2009-0500</a>

    <p>il a été découvert que les informations stockées dans les tables de
    journalisation n'étaient pas correctement controlées. Ceci pourrait permettre à un
    attaquant d'injecter du code web arbitraire.</p></li>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0502";>CVE-2009-0502</a>

    <p>Il a été découvert que certaines entrées de la fonction "Login as"
    n'étaient pas correctement controlées. Ceci permet d'injecter des scripts
    web arbitraires.</p></li>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5153";>CVE-2008-5153</a>

    <p>Dmitry E. Oboukhov a découvert que le module SpellCheker crée des
    fichiers temporaires non sécurisés permettant une attaque par déni de
    service. Le module n'étant pas utilisé, il a été supprimé dans cette mise à 
    jour.</p></li>

</ul>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la
version 1.6.3-2+etch2.</p>

<p>Pour la distribution testing (Lenny), ces problèmes ont été corrigés dans
la version 1.8.2.dfsg-3+lenny1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la
version 1.8.2.dfsg-4.</p>

<p>Nous vous recommandons de mettre à jour votre paquet moodle.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1724.data"
# $Id: dsa-1724.wml,v 1.1 2009/02/13 20:39:45 joey Exp $