Le 24/10/2011 11:30, Thomas Vincent a écrit : > Corrections pour dsa-1970, dsa-1978. Intégrées merci, > Ràs pour dsa-2325 (2324 est indiqué dans le sujet du message) et les autres. Sujet corrigé aussi. Par avance merci pour vos dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Augmentation de droits et déni de service</define-tag> <define-tag moreinfo> <p> Un dépassement de tampon dans la prise en charge d'<q>émulation Linux</q> du noyau FreeBSD permet aux utilisateurs locaux de provoquer un déni de service (panique) et éventuellement exécuter du code arbitraire en appelant l'appel système bind avec un long chemin pour une socket de domaine UNIX, ce qui n'est pas correctement traité quand l'adresse est utilisée par d'autres appels système non indiqués. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 8.1+dfsg-8+squeeze2.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 8.2-9.</p> <p>Nous vous recommandons de mettre à jour vos paquets kfreebsd-8.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2325.data" # $Id: dsa-2325.wml,v 1.1 2011-10-23 22:00:57 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> Une fuite de mémoire significative pourrait se produire dans OpenSSL, liée à la réinitialisation de zlib. Cela pourrait conduire à une vulnérabilité de déni de service exploitable à distance lors de l'utilisation du serveur Apache dans une configuration où mod_ssl, mod_php5 et l'extension php5-curl sont chargées. </p> <p>L'ancienne distribution stable distribution (Etch) n'est pas concernée par ce problème..</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.9.8g-15+lenny6.</p> <p> Les paquets pour l'architecture arm ne sont pas compris dans cette annonce. Ils seront publiés dès qu'ils seront disponibles. </p> <p> Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème sera corrigé prochainement. Le problème ne paraît pas exploitable avec le paquet apache2 distribué dans Squeeze et Sid. </p> <p>Nous vous recommandons de mettre à jour vos paquets openssl. Vous devrez aussi redémarrer le serveur Apache pour s'assurer qu'il utilise les bibliothèques mises à jour. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1970.data" # $Id: dsa-1970.wml,v 1.2 2011-10-24 17:03:43 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans phpGroupWare, un système de travail collaboratif avec interface web, écrit en PHP. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4414">CVE-2009-4414</a> <p> Une vulnérabilité d'injection SQL a été découverte dans le module d'authentification. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4415">CVE-2009-4415</a> <p> Plusieurs vulnérabilités de traversée de répertoires ont été découvertes dans le module de carnet d'adresse. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4416">CVE-2009-4416</a> <p> Le module d'authentification est concerné par un script intersite. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 0.9.16.012+dfsg-8+lenny1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.9.16.012+dfsg-9.</p> <p>Nous vous recommandons de mettre à jour vos paquets phpgroupware.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1978.data" # $Id: dsa-1978.wml,v 1.2 2011-10-24 17:03:43 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans lintian, un vérificateur de paquet Debian. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4013">CVE-2009-4013</a> : absence de vérification des fichiers de contrôle <p> Les noms des champs de contrôle et les valeurs n'étaient pas vérifiés avant d'être utilisés dans certaines opérations ce qui pourrait conduire à des traversées de répertoires. </p> <p> Les fichiers de contrôle des systèmes de correctif n'étaient pas vérifiés avant d'être utilisés dans certaines opérations ce qui pourrait conduire à des traversées de répertoires. </p> <p> Un attaquant pourrait exploiter ces vulnérabilités pour écraser des fichiers arbitraires ou divulguer des renseignements sur le système. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4014">CVE-2009-4014</a> : vulnérabilités de chaîne de formatage <p> Plusieurs scripts de vérification et le module Lintian::Schedule utilisaient l'entrée fournie par l'utilisateur dans une partie de la chaîne de formatage sprintf ou printf. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4015">CVE-2009-4015</a> : exécution de commande arbitraire <p> Les noms de fichier n'étaient pas correctement protégés lorsqu'ils étaient passés comme arguments à certaines commandes, permettant l'exécution d'autres commandes en tube (<q>pipe</q>) ou en jeu de commandes d'interpréteur. </p></li> </ul> <p>Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 1.23.28+etch1.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.24.2.1+lenny1.</p> <p>Pour la distribution testing (Squeeze), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.3.2.</p> <p>Nous vous recommandons de mettre à jour vos paquets lintian.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1979.data" # $Id: dsa-1979.wml,v 1.1 2011-10-23 23:40:54 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Validation des entrées insuffisante</define-tag> <define-tag moreinfo> <p> Sendmail, un agent de transport de courrier, ne traite pas correctement un caractère « \0 » dans un champ Common Name (CN) d'un certificat X.509. </p> <p> Cela permet à un attaquant de se faire passer pour des serveurs SMTP basés sur SSL arbitraires à l'aide d'un certificat serveur contrefait délivré par une autorité de certification légitime et de contourner les restrictions d'accès définies à l'aide d'un certificat client contrefait délivré par une autorité de certification légitime. </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 8.13.8-3+etch1</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 8.14.3-5+lenny1</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 8.14.3-9.1, qui migrera bientôt vers la distribution testing (Squeeze).</p> <p>Nous vous recommandons de mettre à jour votre paquet sendmail.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1985.data" # $Id: dsa-1985.wml,v 1.1 2011-10-23 23:40:54 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Moodle, un système de gestion de cours pour apprentissage en ligne. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4297">CVE-2009-4297</a> <p> Plusieurs vulnérabilités de contrefaçon de requête intersite (CSRF) ont été découvertes. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4298">CVE-2009-4298</a> <p> Le module LAMS est prédisposé à la divulgation de renseignements de compte utilisateur. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4299">CVE-2009-4299</a> <p> Le module Glossaire n'a pas de mécanisme de contrôle d'accès suffisant. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4301">CVE-2009-4301</a> <p> Moodle ne vérifie pas correctement les permissions quand le service MNET est activé. Cela permet aux serveurs distants authentifiés d'exécuter des fonctions MNET arbitraires. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4302">CVE-2009-4302</a> <p> La page login/index_form.html lie vers une page HTTP au lieu d'utiliser une connexion SSL sécurisée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4303">CVE-2009-4303</a> <p> Moodle conserve des données sensibles dans les fichiers de sauvegarde, ce qui permet aux attaquants de les obtenir. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4305">CVE-2009-4305</a> <p> Le module SCORM est prédisposé à une injection SQL. </p></li> </ul> <p> De plus, une injection SQL dans la fonction update_record, un problème de liens symboliques et un problème de vérification avec Glossaire, la base de données et l'évaluation des messages des forums ont été corrigés. </p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.8.2.dfsg-3+lenny3.</p> <p> Pour la distribution oldstable (Etch), aucun paquet corrigé n'est disponible et le rétroportage de la plupart des corrections est trop compliqué. Par conséquent, nous vous recommandons de mettre à jour vers la version de Lenny. </p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.8.2.dfsg-6.</p> <p>Nous vous recommandons de mettre à jour vos paquets moodle.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1986.data" # $Id: dsa-1986.wml,v 1.1 2011-10-23 23:40:54 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Divulgation d'informations</define-tag> <define-tag moreinfo> <p> Christoph Pleger a découvert que la bibliothèque C de GNU (glibc) et ses dérivées ajoutent des renseignements de la carte passwd.adjunct.byname aux entrées de la carte passwd. Cela permet aux utilisateurs locaux d'obtenir les mots de passe chiffrés des comptes NIS en appelant la fonction getpwnam. </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 2.3.6.ds1-13etch10 du paquet glibc.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.7-18lenny2 du paquet glibc.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.10.2-4 du paquet eglibc.</p> <p>Nous vous recommandons de mettre à jour votre paquet glibc ou eglibc.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1973.data" # $Id: dsa-1973.wml,v 1.1 2011-10-23 23:40:53 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature