Salut, Trois mises à jour de sécurité ont été mises en ligne, et j'en ai traduit quelques autres plus anciennes, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans la suite Internet Iceape, une version sans marque de Seamonkey. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0455";>CVE-2012-0455</a> <p> Soroush Dalili a découvert qu'une protection contre un script intersite lié aux URL JavaScript pourrait être contournée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0456";>CVE-2012-0456</a> <p> Atte Kettunen a découvert une lecture hors limites dans les filtres SVG, avec pour conséquence une divulgation de mémoire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0458";>CVE-2012-0458</a> <p> Mariusz Mlynski a découvert une possibilité d'augmentation de droits à l'aide d'une URL JavaScript en tant que page d'accueil. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0461";>CVE-2012-0461</a> <p> Bob Clary a découvert des bogues de corruption de mémoire, ce qui pourrait conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0467";>CVE-2012-0467</a> <p> Bob Clary, Christian Holler, Brian Hackett, Bobby Holley, Gary Kwong, Hilary Hall, Honza Bambas, Jesse Ruderman, Julian Seward et Olli Pettay ont découvert des bogues de corruption de mémoire, qui pourraient conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0470";>CVE-2012-0470</a> <p> Atte Kettunen a découvert qu'un bogue de corruption de mémoire dans gfxImageSurface pourrait conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0471";>CVE-2012-0471</a> <p> Anne van Kesteren a découvert qu'un encodage incorrect de caractère multioctet pourrait conduire à un script intersite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0477";>CVE-2012-0477</a> <p> Masato Kinugawa a découvert que l'encodage de caractères Coréen et Chinois pourrait conduire à un script intersite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0479";>CVE-2012-0479</a> <p> Jeroen van der Gun a découvert une vulnérabilité d'usurpation dans la présentation des flux Atom et RSS par HTTPS. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-11</p> <p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceape.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2458.data" # $Id: dsa-2458.wml,v 1.1 2012-04-24 21:34:54 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner intégrée fournit des services de rendu pour plusieurs autres applications intégrées à Debian. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0467";>CVE-2012-0467</a> <p> Bob Clary, Christian Holler, Brian Hackett, Bobby Holley, Gary Kwong, Hilary Hall, Honza Bambas, Jesse Ruderman, Julian Seward et Olli Pettay ont découvert des bogues de corruption de mémoire, qui pourraient conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0470";>CVE-2012-0470</a> <p> Atte Kettunen a découvert qu'un bogue de corruption de mémoire dans gfxImageSurface pourrait conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0471";>CVE-2012-0471</a> <p> Anne van Kesteren a découvert qu'un encodage incorrect de caractère multioctet pourrait conduire à un script intersite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0477";>CVE-2012-0477</a> <p> Masato Kinugawa a découvert que l'encodage de caractères Coréen et Chinois pourrait conduire à un script intersite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0479";>CVE-2012-0479</a> <p> Jeroen van der Gun a découvert une vulnérabilité d'usurpation dans la présentation des flux Atom et RSS par HTTPS. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-14.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 10.0.4esr-1.</p> <p>Pour la distribution experimental, ce problème sera bientôt corrigé.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2457.data" # $Id: dsa-2457.wml,v 1.2 2012-04-24 21:34:02 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Utilisation de mémoire après libération</define-tag> <define-tag moreinfo> <p> Danny Fullerton a découvert une utilisation de mémoire après libération dans le démon SSH Dropbear, avec pour conséquence une éventuelle exécution de code arbitraire. L'exploitation est limitée aux utilisateurs ayant été authentifiés à l'aide d'une clef publique et pour lesquels des restrictions de commandes sont configurées. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.52-5+squeeze1.</p> <p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2012.55-1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2012.55-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets dropbear.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2456.data" # $Id: dsa-2456.wml,v 1.1 2012-04-24 20:39:39 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans XULRunner, un environnement d'exécution pour les applications XUL, comme le navigateur web Iceweasel. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1169";>CVE-2009-1169</a> <p> Guido Landi, chercheur en sécurité, a découvert qu'une feuille de style XSL pourrait être utilisée pour planter le navigateur lors d'une transformation XSL. Un attaquant pourrait éventuellement utiliser ce plantage pour exécuter du code arbitraire sur l'ordinateur de la victime. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1044";>CVE-2009-1044</a> <p> Nils, chercheur en sécurité, a signalé par l'intermédiaire de l'initiative jour zéro de TippingPoint que la méthode d'arbre XUL _moveToEdgeShift déclenchait parfois des routines de ramasse-miettes sur des objets toujours utilisés. Dans ces cas là , le navigateur planterait lors d'un essai d'accès à un objet détruit auparavant et ce plantage pourrait être utilisé par l'attaquant pour exécuter du code arbitraire code sur l'ordinateur de la victime. </p></li> </ul> <p> Remarquez qu'après avoir installé ces mises à jour, vous devrez redémarrer les programmes utilisant XULRunner, en particulier Iceweasel ou Epiphany. </p> <p> Conformément aux notes de publication d'Etch, le suivi en sécurité des produits Mozilla dans la distribution oldstable devait être arrêté avant la fin du cycle de vie normal en matière de suivi en sécurité. Nous vous recommandons fortement de mettre à niveau vers stable ou de basculer vers un navigateur encore suivi. </p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.9.0.7-0lenny2.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.0.8-1</p> <p>Nous vous recommandons de mettre à jour votre paquet xulrunner.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1756.data" # $Id: dsa-1756.wml,v 1.2 2010-12-17 14:39:31 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Dépassement de tampon</define-tag> <define-tag moreinfo> <p> Anders Kaseorg a découvert que ndiswrapper souffre de dépassements de tampon à l'aide du trafic réseau sans fil, à cause du traitement incorrect des grands ESSID. Cela pourrait conduire à l'exécution de code arbitraire. </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 1.28-1+etch1.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.53-2, qui a déjà été incluse dans la publication de Lenny.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.53-2.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1731.data" # $Id: dsa-1731.wml,v 1.1 2009-03-03 21:18:03 spaillar Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Vulnérabilités d'injection SQL</define-tag> <define-tag moreinfo> <p> La mise à jour de proftpd-dfsg en <a href="./dsa-1727">\ DSA-1727-1</a> a provoqué une régression avec le moteur PostgreSQL. Cette mise à jour corrige le défaut. La distribution oldstable (Etch) n'est en fait pas concernée par les problèmes de sécurité. L'annonce d'origine est rappelée ci-dessous. </p> <p> Deux vulnérabilités d'injection SQL ont été découvertes dans ProFTPd, un démon d'hébergement virtuel FTP polyvalent. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0542";>CVE-2009-0542</a> <p> Shino a découvert que ProFTPd est prédisposé à une vulnérabilité d'injection SQL en utilisant certains caractères dans le nom d'utilisateur. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0543";>CVE-2009-0543</a> <p> TJ Saunders a découvert que ProFTPd est prédisposé à une vulnérabilité d'injection SQL à cause d'un mécanisme de protection insuffisant, lorsque des encodages de caractères multioctets sont utilisés. </p></li> </ul> <p>La distribution oldstable (Etch) n'est pas concernée par ces problèmes.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.3.1-17lenny2.</p> <p>Pour la distribution testing (Squeeze), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.3.2-1.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1730.data" # $Id: dsa-1730.wml,v 1.3 2010-12-17 14:39:27 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Assertion incorrecte</define-tag> <define-tag moreinfo> <p> dkim-milter, une implémentation du protocole DomainKeys Identified Mail, pourrait planter lors d'une vérification DKIM si elle tombe sur un enregistrement de clef publique contrefaite pour l'occasion ou révoquée dans le DNS. </p> <p> L'ancienne distribution stable distribution (Etch) ne contient pas les paquets dkim-milter. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.6.0.dfsg-1+lenny1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.6.0.dfsg-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets dkim-milter.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1728.data" # $Id: dsa-1728.wml,v 1.1 2009-02-28 13:12:03 spaillar Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Vulnérabilités d'injection SQL</define-tag> <define-tag moreinfo> <p> Deux vulnérabilités d'injection SQL ont été découvertes dans ProFTPd, un démon d'hébergement virtuel FTP polyvalent. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0542";>CVE-2009-0542</a> <p> Shino a découvert que ProFTPd est prédisposé à une vulnérabilité d'injection SQL en utilisant certains caractères dans le nom d'utilisateur. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0543";>CVE-2009-0543</a> <p> TJ Saunders a découvert que ProFTPd est prédisposé à une vulnérabilité d'injection SQL à cause d'un mécanisme de protection insuffisant, lorsque des encodages de caractères multioctets sont utilisés. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.3.1-17lenny1.</p> <p>Pour la distribution oldstable (Etch), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution testing (Squeeze), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.3.2-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet proftpd-dfsg.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1727.data" # $Id: dsa-1727.wml,v 1.2 2010-12-17 14:39:26 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature