[RFR] wml://lts/security/2014/dla-001{0,1,2,3,4,5}.wml
Bonjour,
quelques anciennes annonces de sécurité de plus.
Les textes en anglais sontt ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2014/dla-001xxxxx.wml
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="a1efff2044fac2286708ba8d00376e7b187a78af" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>PHP, un langage de script généraliste couramment utilisé pour le
développement d'applications web, est vulnérable à un dépassement de tas
dans l'analyse d'un enregistrement TXT de DNS. Un serveur malveillant ou un
attaquant de type « homme du milieu » pourrait éventuellement utiliser ce
défaut pour exécuter du code arbitraire en tant qu'interpréteur PHP si une
application PHP utilise dns_get_record() pour réaliser une requête DNS.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 5.3.3-7+squeeze20 de php5.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0010.data"
# $Id: $
#use wml::debian::translation-check translation="7453babf485a6c4fa2ce6c80e0c89efc2e726be5" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Bastian Blank a signalé une vulnérabilité de déni de service dans
Email::Address, un module Perl pour l'analyse et la création d'adresses
RFC 2822. Email::Address::parse utilise un temps important pour analyser
des chaînes vides entre guillemets. Un attaquant distant capable de fournir
une entrée spécialement contrefaite à une application utilisant
Email::Address pour l'analyser, pourrait se servir de ce défaut pour
organiser une attaque par déni de service à l'encontre de l'application.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 1.889-2+deb6u1 de libemail-address-perl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0011.data"
# $Id: $
#use wml::debian::translation-check translation="cbb92dc449b1e0e5be5dc269d97f347b667a6aa4" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Jean-René Reinhard, Olivier Levillain et Florian Maury ont signalé que
GnuPG (« GNU Privacy Guard ») ne décompose pas correctement certains
paquets de données altérés. Un attaquant distant pourrait utiliser ce
défaut pour monter un déni de service contre GnuPG en déclenchant une
boucle infinie.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 1.4.10-4+squeeze5 de gnupg.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0012.data"
# $Id: $
#use wml::debian::translation-check translation="dfbe8f133e3b7d584cbe61065001882dc95f9071" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Murray McAllister a découvert un dépassement de tas dans l'outil en
ligne de commande gif2tiff. L'exécution de gif2tiff sur une image tiff
malveillante pourrait mener à l'exécution de code arbitraire.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 3.9.4-5+squeeze11 de tiff.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0013.data"
# $Id: $
#use wml::debian::translation-check translation="0489e1b952f47155cfd52286f4b52319011dbc06" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un outil
pour administrer MySQL par le web. Le projet « Common Vulnerabilities and
Exposures » (CVE) identifie les problèmes suivants.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3239";>CVE-2013-3239</a>
<p>Des utilisateurs authentifiés pourraient exécuter du code arbitraire,
lorsque un répertoire SaveDir est configuré et que le serveur HTTP Apache a
le module mod_mime activé, en employant des noms de fichiers avec une
extension double.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4995";>CVE-2013-4995</a>
<p>Des utilisateurs authentifiés pourraient injecter un script web
arbitraire ou du HTML à l'aide d'une requête SQL contrefaite.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4996";>CVE-2013-4996</a>
<p>Une vulnérabilité de script intersite était possible à l'aide d'une URL
de logo contrefaite dans le panneau de navigation ou d'une entrée
contrefaite dans la liste des serveurs mandataires de confiance (« List of
Trusted Proxies »). </p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-5003";>CVE-2013-5003</a>
<p>Des utilisateurs authentifiés pourraient exécuter des commandes SQL
arbitraires en tant qu'« utilisateur de contrôle » de phpMyAdmin à l'aide
du paramètre échelle de pmd_pdf export.</p></li>
</ul>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 4:3.3.7-8 de phpmyadmin.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0014.data"
# $Id: $
#use wml::debian::translation-check translation="0489e1b952f47155cfd52286f4b52319011dbc06" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour corrige plusieurs attaques distantes et locales par
déni de service et d'autres problèmes :</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4387";>CVE-2013-4387</a>:
<p>ipv6 : les paquets udp suivant un paquet UFO mis en file d'attente
doivent aussi être gérés par UFO pour empêcher des attaquants distants de
provoquer un déni de service (corruption de mémoire et plantage du système)
ou éventuellement d’autres conséquences non précisées au moyen du trafic
réseau qui déclenche un gros paquet en réponse.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4470";>CVE-2013-4470</a>:
<p>inet : correction d'une corruption de mémoire possible avec UDP_CORK et
UFO pour empêcher que des utilisateurs locaux provoquent un déni de service
(corruption de mémoire et plantage du système) ou éventuellement obtenir
des privilèges à l'aide d'une application contrefaite.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0203";>CVE-2014-0203</a>:
<p>correction de casse du point de montage magique autofs/afs/etc., évitant
des attaques par déni de service par des utilisateurs locaux.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2678";>CVE-2014-2678</a>:
<p>rds : déréférencement d'un périphérique NULL évité dans
rds_iw_laddr_check pour empêcher des attaques locales par déni de service
(plantage du système ou éventuellement d’autres conséquences non précisées).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3122";>CVE-2014-3122</a>
<p>Un verrouillage incorrect de la mémoire peut se traduire en un déni de
service local.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3144";>CVE-2014-3144</a>
/ <a href="https://security-tracker.debian.org/tracker/CVE-2014-3145";>CVE-2014-3145</a> :
<p>Un utilisateur local peut provoquer un déni de service (plantage du
système) grâce à des instructions BPF contrefaites.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3917";>CVE-2014-3917</a>:
<p>auditsc : les accès au masque d'audit_krule nécessite des vérifications
des liens pour éviter une attaque locale par déni de service (oops) ou
éventuellement la fuite de valeurs sensibles d'un seul bit provenant de la
mémoire du noyau.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4652";>CVE-2014-4652</a>:
<p>ALSA : control : protection des contrôles de l'utilisateur contres des
accès concurrents ayant pour conséquence une situation de compétition,
permettant éventuellement à des utilisateurs locaux d'accéder à des
informations sensibles provenant de la mémoire du noyau.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4656";>CVE-2014-4656</a>:
<p>ALSA : control : assurance que id->index ne déborde pas pour éviter un
déni de service à l'encontre du système de son par des utilisateurs locaux.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4667";>CVE-2014-4667</a>:
<p>sctp : correction d'un problème d'entrelacements de sk_ack_backlog,
évitant un déni de service (interruption de socket) à l'aide d'un paquet
SCTP contrefait par des attaquants distants.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4699";>CVE-2014-4699</a>:
<p>Andy Lutomirski a découvert que l'appel système ptrace ne vérifiait pas
la validité du registre RIP dans l'API ptrace sur les processeurs x86_64.
Un utilisateur non privilégié pourrait utiliser ce défaut pour planter le
noyau (résultant en un déni de service) ou pour une élévation de privilèges.</p></li>
</ul>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 2.6.32-48squeeze8 de linux-2.6.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-0015.data"
# $Id: $
Reply to:
- Prev by Date:
[RFR] wml://lts/security/2014/dla-000{1,2,3,4,5,6,7,8,9}.wml
- Next by Date:
[RFR] wml://security/2019/dsa-458{2,3,4}.wml
- Previous by thread:
[DONE] wml://lts/security/2014/dla-000{1,2,3,4,5,6,7,8,9}.wml
- Next by thread:
Re: [RFR] wml://lts/security/2014/dla-001{0,1,2,3,4,5}.wml
- Index(es):