Bonjour, Voici quatre propositions de traduction pour d'anciennes annonces de sécurité. J'attire en particulier votre attention sur dsa-1807 qui est plutôt longue. Merci d'avance pour vos relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Pidgin, un client graphique multiprotocole de messagerie instantanée. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1373";>CVE-2009-1373</a> <p>Un dépassement de tampon dans le code de transfert de fichier Jabber pourrait conduire à un déni de service ou l'exécution de code arbitraire.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1375";>CVE-2009-1375</a> <p>Une corruption de la mémoire dans une bibliothèque interne pourrait conduire à déni de service.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1376";>CVE-2009-1376</a> <p>Le correctif fourni pour le problème de sécurité suivi en tant que <a href="http://security-tracker.debian.org/tracker/CVE-2008-2927";>CVE-2008-2927</a> - dépassement d'entiers dans le gestionnaire de protocole MSN - a été découvert incomplet.</p></li> </ul> <p>L'ancienne distribution stable (Etch) est affectée par le paquet nommé gaim. Cependant, à cause de problèmes de fabrication, les paquets mis à jours n'ont pas pu être livrés avec la version stable. Ils seront livrés quand ces problèmes seront résolus.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.4.3-4lenny2.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.5.6-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets pidgin.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1805.data" # $Id: dsa-1805.wml,v 1.2 2010-12-17 14:39:54 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Dépassements de tampon</define-tag> <define-tag moreinfo> <p>Matt Murphy a découvert que cscope, un outil de navigation dans du code source, ne vérifie pas la longueur de noms de fichiers présents dans les déclarations d'inclusion, ce qui pourrait éventuellement mener à l'exécution de code arbitraire grâce à des fichiers sources contrefaits pour l'occasion.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 15.6-6+lenny1.</p> <p>� cause d'une limitation technique dans les scripts de gestion de l'archive Debian, la mise à jour pour l'ancienne distribution stable (Etch) ne peut être livrée en même temps. Ce sera prochainement corrigé dans la version 15.6-2+etch1.</p> <p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour votre paquet cscope.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1806.data" # $Id: dsa-1806.wml,v 1.1 2009-05-24 10:33:21 spaillar Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Thomas Vincent" <define-tag description>Dépassement de tampon</define-tag> <define-tag moreinfo> <p>James Ralston a découvert que la fonction sasl_encode64() de cyrus-sasl2, une bibliothèque libre implémentant la couche d'authentification simple et de sécurité (« Simple Authentication and Security Layer ), souffre d'une terminaison nulle manquante dans certaines situations. Cela cause plusieurs dépassements de tampons dans les situations où cyrus-sasl2 lui-même requiert que la chaîne soit terminée par un caractère null, ce qui peut conduire à un déni de service ou l'exécution de code arbitraire.</p> <p>Note importante (citation de US-CERT) : Bien que cette rustine corrige le code vulnérable pour le moment, il casser du code non-vulnérable. Voici un prototype de fonction depuis include/saslutil.h pour clarifier mon explication :</p> <pre>/* base64 encode * in -- donnée d'entrée * inlen -- longueur de la donnée d'entrée * out -- tampon de sortie (sera terminé par un caractère nul) * outmax -- taille maximale du tampon de sortie * résultat: * outlen -- longueur du tampon de sortie (optionnel) * * Renvoie SASL_OK en cas de succès, SASL_BUFOVER si le resultat ne correspond pas */ LIBSASL_API int sasl_encode64(const char *in, unsigned inlen, char *out, unsigned outmax, unsigned *outlen);</pre> <p>Envisageons un scénario où le code d'appel a été écrit de façon à ce qu'il calcule d'avance la taille exacte requise pour l'encodage base64, puis alloue un tampon de cette taille précise et passe un pointeur du tampon dans sasl_encode64() en tant que paramètre *out. Tant que ce code ne prévoit pas que le tampon se termine par un caractère nul (n'appelle aucune fonction de traitement de chaîne comme strlen(), par exemple), le code fonctionne et ne sera pas vulnérable.</p> <p>� partir de l'application de ce correctif, le même code sera cassé car sasl_encode64() renverra SASL_BUFOVER.</p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 2.1.22.dfsg1-8+etch1 de cyrus-sasl2.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.1.22.dfsg1-23+lenny1 de cyrus-sasl2 et cyrus-sasl2-heimdal.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.1.23.dfsg1-1 de cyrus-sasl2 et cyrus-sasl2-heimdal.</p> <p>Nous vous recommandons de mettre à jour vos paquets cyrus-sasl2/cyrus-sasl2-heimdal.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1807.data" # $Id: dsa-1807.wml,v 1.3 2009-06-08 17:30:21 thijs Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Vérification d'entrées manquante</define-tag> <define-tag moreinfo> <p>Markus Petrux a découvert une vulnérabilité de script intersite dans le module « taxonomy » module, un environnement de gestion de contenu riche en fonctionnalités. Il est également possible que certains navigateurs utilisant l'encodage UTF-7 soient vulnérables à une vulnérabilité de script intersite différente.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 6.6-3lenny2.</p> <p>La distribution oldstable (Etch) ne contient pas drupal6.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 6.11-1.1.</p> <p>Nous vous recommandons de mettre à jour vos paquets drupal6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1808.data" # $Id: dsa-1808.wml,v 1.1 2009-06-01 15:30:31 white Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature