Salut, Une mise à jour de sécurité a été mise en ligne, et j'en ai traduit deux plus anciennes pour récupérer le retard, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordement de mémoire tampon basée sur le tas</define-tag> <define-tag moreinfo> <p> Rocco Calvi a découvert que l'analyseur de liste de lecture XSPF de VLC, un lecteur multimédia et de flux, est prédisposé à un débordement d'entier ayant pour conséquence un débordement de mémoire tampon. Cela peut permettre à un attaquant d'exécuter du code arbitraire en piégeant une victime dans l'ouverture d'un fichier trafiqué pour l'occasion. </p> <p>La distribution oldstable (Lenny) n'est pas concernée par ce problème.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.1.3-1squeeze6.</p> <p>Pour les distributions testing (Wheezy) et unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets vlc.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2257.data" # $Id: dsa-2257.wml,v 1.1 2011-06-10 14:36:25 taffit Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Chrony, une paire de programmes utilisés pour maintenir la précision de l'horloge système d'un ordinateur. Ces problèmes sont similaires au défaut de sécurité de NTP <a href="http://security-tracker.debian.org/tracker/CVE-2009-3563";>CVE-2009-3563</a>. Le projet « Common Vulnerabilities et Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0292";>CVE-2010-0292</a> <p> chronyd répond à tous les paquets cmdmon des messages NOHOSTACCESS même pour les hôtes non autorisés. Un attaquant peut abuser de ce comportement pour forcer deux instances de chronyd à jouer au ping-pong de paquet en envoyant un tel paquet avec une adresse et un port source usurpés. Cela provoque une utilisation élevée du microprocesseur et du réseau et par conséquent des conditions de déni de service. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0293";>CVE-2010-0293</a> <p> La fonction de journalisation des clients de chronyd ne limite pas la mémoire utilisée pour conserver les renseignements des clients. Un attaquant peut forcer chronyd à allouer une grande quantité de mémoire en envoyant des paquets NTP ou cmdmon avec une adresse source usurpée, provoquant un épuisement de la mémoire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0294";>CVE-2010-0294</a> <p> chronyd manque d'un contrôle de taux limite pour la fonction de journalisation système lors de la journalisation de paquets reçus d'hôtes non autorisés. Cela permet à un attaquant de provoquer des conditions de déni de service en remplissant les journaux et par conséquent l'espace disque en envoyant de façon répétée des paquets cmdmon non valables. </p></li> </ul> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 1.21z-5+etch1.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.23-6+lenny1.</p> <p>Pour les distributions testing (Squeeze) et unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets chrony.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1992.data" # $Id: dsa-1992.wml,v 1.3 2010-12-17 14:26:35 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordement d'entier par le bas</define-tag> <define-tag moreinfo> <p> On a découvert que Kerberos, un système pour authentifier les utilisateurs et services sur un réseau, est sujet à un débordement d'entier par le bas dans les opération de déchiffrage AES et RC4 de la bibliothèque crypto. Un attaquant distant peut provoquer des plantages, une corruption de tas ou, dans des conditions extraordinairement improbables, l'exécution de code arbitraire. </p> <p>Pour l'ancienne distribution stable (Etch), ce problème a été corrigé dans la version 1.4.4-7etch8.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.6.dfsg.4~beta1-5lenny2.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.8+dfsg~alpha1-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet krb5.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1969.data" # $Id: dsa-1969.wml,v 1.1 2010-01-13 08:52:10 rhonda-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature