Salut, Une annonce de sécurité a été publiée, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans devscripts, un jeu de scripts pour faciliter la vie des mainteneurs de paquets Debian. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2240";>CVE-2012-2240</a>: <p> Raphael Geissert a découvert que dscverify ne réalise pas de validation suffisante et ne protège pas correctement les arguments des commandes externes, permettant à un attaquant distant (comme lorsque dscverify est utilisé par dget) d'exécuter du code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2241";>CVE-2012-2241</a>: <p> Raphael Geissert a découvert que dget permet à un attaquant de supprimer des fichiers arbitraires lors du traitement de fichiers .dsc ou .changes contrefaits pour l'occasion, à cause d'une validation d'entrée insuffisante. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2242";>CVE-2012-2242</a>: <p> Raphael Geissert a découvert que dget ne protège pas correctement les arguments des commandes externes lors du traitement de fichiers .dsc et .changes, permettant à un attaquant d'exécuter du code arbitraire. Ce problème est limité grâce au correctif pour <a href="http://security-tracker.debian.org/tracker/CVE-2012-2241";>CVE-2012-2241</a>, et a déjà été corrigé dans la version 2.10.73 à cause de modifications du code, sans considération de ses implications en termes de sécurité. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3500";>CVE-2012-3500</a>: <p> Jim Meyering, de Red Hat, a découvert que annotate-output détermine le nom des tubes nommés temporaires d'une façon qui permet à un attaquant local de le faire échouer, avec pour conséquence un déni de service. </p></li> </ul> <p> De plus, une régression dans le code de retour de debdiff introduit dans <a href="dsa-2490">DSA-2409-1</a> a été corrigé. </p> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.10.69+squeeze4.</p> <p>Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes seront corrigés dans la version 2.12.3.</p> <p>Nous vous recommandons de mettre à jour vos paquets devscripts.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2549.data" # $Id: dsa-2549.wml,v 1.1 2012-09-15 18:19:16 geissert Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature