Salut, Deux mises à jour de sécurité ont été mises en ligne, et le ti'lapin de pâque en a traduit sept plus vieilles pour récupérer le retard et le plaisir de passer la barre des quatre-vingt-dix pour cent de fichiers traduits sur le site, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> M. Lucinskij et P. Tumenas ont découvert un débordement de mémoire tampon dans le code pour traiter les fichiers de tracker S3M dans la bibliothèque de tracker Modplug. Cela peut avoir pour conséquence l'exécution de code arbitraire. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.8.4-1+lenny2.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:0.8.8.1-1+squeeze1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:0.8.8.2-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libmodplug.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2226.data" # $Id: dsa-2226.wml,v 1.1 2011-04-26 21:59:52 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Asterisk, une boîte à outils d'autocommutateur (PBX) et téléphonie. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1147">CVE-2011-1147</a> <p> Matthew Nicholson a découvert qu'un traitement incorrect de paquets UDPTL pourrait conduire à un déni de service ou à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1174">CVE-2011-1174</a> <p> Blake Cornell a découvert qu'un traitement incorrect de connexion dans l'interface de gestion pourrait conduire à un déni de service. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1175">CVE-2011-1175</a> <p> Blake Cornell et Chris May ont découvert qu'un traitement incorrect de connexion TCP pourrait conduire à un déni de service. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1507">CVE-2011-1507</a> <p> Tzafrir Cohen a découvert qu'une limite insuffisante de requêtes de connexion dans plusieurs services basés sur TCP pourrait conduire à déni de service. Veuillez vous référer à l'<a href="http://downloads.asterisk.org/pub/security/AST-2011-005.html">\ annonce de sécurité AST-2011-005</a> pour plus de précisions. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1599">CVE-2011-1599</a> <p> Matthew Nicholson a découvert une vulnérabilité d'augmentation de droits dans l'interface de gestion. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1:1.4.21.2~dfsg-3+lenny2.1.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:1.6.2.9-2+squeeze2.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:1.8.3.3-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets asterisk.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2225.data" # $Id: dsa-2225.wml,v 1.1 2011-04-26 21:53:07 taffit-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans gzip, les utilitaires de compression GNU. Le projet « Common Vulnerabilities et Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2624">CVE-2009-2624</a> <p> Thiemo Nagel a découvert un défaut de validation d'entrée dans la façon dont gzip décompressait les blocs de données pour les codes Huffman dynamiques. Cela pourrait permettre l'exécution de code arbitraire lors d'un essai de décompression d'une archive trafiquée. Ce problème est une réapparition de <a href="http://security-tracker.debian.org/tracker/CVE-2006-4334">CVE-2006-4334</a> et ne concerne que la version de Lenny.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0001">CVE-2010-0001</a> <p> Aki Helin a découvert un débordement d'entier par le bas lors de la décompression de fichiers compressés en utilisant l'algorithme LZW. Cela pourrait conduire à l'exécution de code arbitraire lors d'un essai de décompression d'une archive gzip compressée LZW trafiquée. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.3.12-6+lenny1.</p> <p>Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 1.3.5-15+etch1.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets gzip.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1974.data" # $Id: dsa-1974.wml,v 1.1 2011-04-26 22:13:29 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Injection SQL</define-tag> <define-tag moreinfo> <p> On a découvert que smbind, un outil en PHP pour gérer les zones DNS de BIND, ne valide pas correctement les entrées. Un attaquant distant non authentifié pourrait exécuter des commandes SQL arbitraires ou obtenir un accès au compte de l'administrateur. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.4.7-3+lenny1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.4.7-5, et migrera vers la distribution testing (Squeeze) prochainement. </p> <p>Nous vous recommandons de mettre à jour votre paquet smbind (0.4.7-3+lenny1).</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2103.data" # $Id: dsa-2103.wml,v 1.1 2011-04-26 22:13:44 taffit-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités de déni de service ont été découvertes dans Polipo, un petit serveur web mandataire avec cache. Le projet « Common Vulnerabilities et Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3305">CVE-2009-3305</a> <p> Un serveur distant malveillant pourrait provoquer un plantage de Polipo en envoyant un en-tête Cache-Control non valable. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4143">CVE-2009-4143</a> <p> Un client malveillant pourrait provoquer un plantage de Polipo en envoyant une grande valeur de Content-Length. </p></li> </ul> <p> Cette mise à niveau corrige également d'autres bogues qui pourraient conduire à un plantage du démon ou une boucle infinie déclenchée à distance. </p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.0.4-1+lenny1.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.4-3.</p> <p>Nous vous recommandons de mettre à jour vos paquets polipo.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2002.data" # $Id: dsa-2002.wml,v 1.1 2011-04-26 22:13:35 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordement d'entier</define-tag> <define-tag moreinfo> <p> Tim Starling a découvert que LibThai, un ensemble de routines de gestion de la langue Thaï, est vulnérable au débordement d'entier et de tas. Cette vulnérabilité pourrait permettre à un attaquant d'exécuter du code arbitraire en envoyant une très longue chaîne. </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 0.1.6-1+etch1.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.1.9-4+lenny1.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour votre paquet libthai.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1971.data" # $Id: dsa-1971.wml,v 1.1 2011-04-26 22:13:25 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordement d'entier par le bas</define-tag> <define-tag moreinfo> <p> Aki Helin a découvert un débordement d'entier par le bas dans ncompress, les programmes originaux de compression et décompression Lempel-Ziv. Cela pourrait conduire à l'exécution de code arbitraire lors d'un essai de décompression d'une archive LZW compressé gzip trafiquée. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 4.2.4.2-1+lenny1.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème a été corrigé dans la version 4.2.4.3-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet ncompress.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2074.data" # $Id: dsa-2074.wml,v 1.1 2011-04-26 22:13:38 taffit-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Pas implémentation de jeton spécifique à l'utilisateur</define-tag> <define-tag moreinfo> <p> SquirrelMail, une application de messagerie électronique par le web, n'utilise pas de jeton spécifique à l'utilisateur pour les formulaires web. Cela permet a un attaquant distant de réaliser une attaque par contrefaçon de requête intersite (CSRF). L'attaquant pourrait contourner l'authentification de victimes indéterminées et d'envoyer des messages ou modifier les préférences de l'utilisateur entre autres actions, en piégeant la victime à suivre un lien contrôlé par l'attaquant. </p> <p> De plus, un déni de service a été corrigé, qui pourrait être déclenché si un mot de passe contenant des caractères codés sur huit bits était utilisé pour se connecter (<a href="http://security-tracker.debian.org/tracker/CVE-2010-2813">CVE-2010-2813</a>). </p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.4.15-4+lenny3.1.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.21-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets squirrelmail.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2091.data" # $Id: dsa-2091.wml,v 1.1 2011-04-26 22:13:43 taffit-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Une vulnérabilité a été découverte dans Samba, un serveur de fichier SMB/CIFS, d'impression et de connexion pour UNIX. </p> <p> La fonction sid_parse() ne vérifie pas correctement ses longueurs d'entrée lors de la lecture d'une représentation binaire d'un SID (identifiant de sécurité Windows). Cela permet a un client malveillant d'envoyer un SID qui peut faire déborder la variable de pile utilisée pour stocker les SID dans le serveur smbd de Samba (<a href="http://security-tracker.debian.org/tracker/CVE-2010-3069">CVE-2010-3069</a>). </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 3.2.5-4lenny13.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème sera corrigé dans la version 3.5.5~dfsg-1.</p> <p> Nous vous recommandons de mettre à jour vos paquets samba. Les paquets pour l'architecture mips ne sont pas inclus dans cette mise à niveau. Ils seront publiés dès qu'ils seront disponibles. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2109.data" # $Id: dsa-2109.wml,v 1.1 2011-04-26 22:13:48 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature