Salut, Le 23/04/2011 11:48, Cédric Boutillier a écrit : > Quelques propositions. Merci, j'ai tout intégré. Par avance merci pour vos dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités de sécurité ont été découvertes dans OpenJDK, une implémentation de la plate-forme Java. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4351";>CVE-2010-4351</a> <p> Le SecurityManager JNLP est renvoyé depuis la méthode checkPermission au lieu de lancer une exception dans certaines circonstances, ce qui pourrait permettre à des attaquants dépendants du contexte de contourner la politique de sécurité voulue en créant des instances de ClassLoader. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4448";>CVE-2010-4448</a> <p> Des appliquettes malicieuses permettent de réaliser un empoisonnement du cache DNS. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4450";>CVE-2010-4450</a> <p> Une variable d'environnement LD_LIBRARY_PATH vide (mais configurée) provoque un chemin de recherche de bibliothèques mal interprété, donnant lieu à l'exécution de code à partir de sources éventuellement non fiables. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4465";>CVE-2010-4465</a> <p> Des appliquettes malicieuses peuvent étendre leurs droits en abusant les horloges Swing. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4469";>CVE-2010-4469</a> <p> Le compilateur à la volée Hotspot fait des erreurs de compilation sur des suites d'octets trafiquées, provoquant une corruption de tas. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4470";>CVE-2010-4470</a> <p> JAXP peut être exploité par du code non fiable pour augmenter des droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4471";>CVE-2010-4471</a> <p> Java2D peut être exploité par du code non fiable pour augmenter des droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4472";>CVE-2010-4472</a> <p> Du code non fiable peut remplacer l'implémentation DSIG XML. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0025";>CVE-2011-0025</a> <p> Les signatures de fichiers JAR ne sont pas vérifiées correctement. Cela permet à des attaquants distants de piéger des utilisateurs dans l'exécution de code qui semble provenir d'une source fiable. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0706";>CVE-2011-0706</a> <p> La classe JNLPClassLoader permet à des attaquants distants d'obtenir des droits à l'aide de moyens inconnus liés à plusieurs signataires et l'affectation d'un descripteur de sécurité inadéquat. </p></li> </ul> <p> De plus, cette mise à jour de sécurité contient des correctifs de stabilité, comme le basculement vers la version de Hotspot recommandée (hs14) pour cette version spécifique d'OpenJDK. </p> <p>Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 6b18-1.8.7-2~lenny1.</p> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 6b18-1.8.7-2~squeeze1.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.8.7-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openjdk-6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2224.data" # $Id: dsa-2224.wml,v 1.3 2011-04-23 16:20:52 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Traitement incorrect d'ACL</define-tag> <define-tag moreinfo> <p> Christoph Martin a découvert qu'un traitement d'ACL incorrect dans TinyProxy, un serveur mandataire HTTP léger, sans cache, et facultativement anonymisant, pourrait permettre des droits d'accès au réseau non voulus. </p> <p>La distribution oldstable (Lenny) n'est pas concernée.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.8.2-1squeeze1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.8.2-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets tinyproxy.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2222.data" # $Id: dsa-2222.wml,v 1.3 2011-04-23 16:20:51 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Injection SQL</define-tag> <define-tag moreinfo> <p> On a découvert que Doctrine, une bibliothèque PHP pour implémenter la persistance objet, contient des vulnérabilités d'injection SQL (<a href="http://security-tracker.debian.org/tracker/CVE-2011-1522";>CVE-2011-1522</a>). L'impact exact dépend de l'application qui utilise la bibliothèque Doctrine. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.2-2+squeeze1.</p> <p>Nous vous recommandons de mettre à jour vos paquets doctrine.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2223.data" # $Id: dsa-2223.wml,v 1.2 2011-04-21 02:41:18 taffit-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans Pidgin, un client graphique multiprotocole de messagerie instantanée. Le projet « Common Vulnerabilities et Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0420";>CVE-2010-0420</a> <p> Des identifiants trafiqués dans le protocole XMPP peuvent planter Pidgin à distance. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0423";>CVE-2010-0423</a> <p> Les contacts distants peuvent envoyer trop de frimousses personnalisées, plantant Pidgin. </p></li> </ul> <p> Il y a quelques mois, les serveurs MSN de Microsoft ont modifié le protocole, rendant Pidgin incapable de fonctionner avec MSN. Il n'est pas possible de porter ces modifications vers la version de Pidgin présente dans Debian Lenny. Cette mise à jour prend acte de la situation en désactivant le protocole dans le client. Les utilisateurs du protocole MSN devraient utiliser la version de Pidgin disponible dans les dépôts de www.backports.org. </p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.4.3-4lenny6.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.6.6-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet pidgin.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2038.data" # $Id: dsa-2038.wml,v 1.3 2011-04-23 16:20:57 taffit-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Augmentation de droits et déni de service</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités locales ont été découvertes dans KVM, un système de virtualisation complet. Le projet « Common Vulnerabilities et Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0298";>CVE-2010-0298</a> <a href="http://security-tracker.debian.org/tracker/CVE-2010-0306";>CVE-2010-0306</a> <p> Gleb Natapov a découvert des problèmes dans le sous-système KVM où des vérifications de droits manquantes (CPL/IOPL) permettent à un utilisateur de système client de provoquer un déni de service du client (plantage du système) ou d'obtenir des droits augmentés dans le client. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0309";>CVE-2010-0309</a> <p> Marcelo Tosatti a corrigé un problème dans le code d'émulation PIT du sous-système KVM qui permet aux utilisateurs privilégiés d'un domaine client de provoquer un déni de service (plantage) du système hôte. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0419";>CVE-2010-0419</a> <p> Paolo Bonzini a trouvé un bogue dans KVM qui peut être utilisé pour contourner la vérification correcte de droits lors du chargement de sélecteurs de segment. Cela peut permettre aux utilisateurs privilégiés d'un client d'exécuter des instructions privilégiées sur le système hôte. </p></li> </ul> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 72+dfsg-5~lenny5.</p> <p> Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes seront abordés dans le paquet linux-2.6. </p> <p>Nous vous recommandons de mettre à jour votre paquet kvm.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2010.data" # $Id: dsa-2010.wml,v 1.2 2011-04-21 02:41:18 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature