[ddr] webwml://security/2002/dsa-16(5,6).wml
Bonjour à tous,
Je vous envoie les deux dernières dsas. Merci de les relire et de les
mettre en ligne.
A plus, Thomas.
<define-tag description>Dépassements de tampon</define-tag>
<define-tag moreinfo>
<p>Deux dépassements de tampon ont été mis à jour dans <code>purity</code>,
un jeu pour les codeurs et ceux qui abusent de l'informatique, qui est
installé sous le groupe <i>games</i> sur un système Debian. Ce problème
permettait d'avoir un accès non désiré en tant que membre du groupe
<i>games</i>. Ainsi, quelqu'un de peu recommandable pouvait modifier vos
meilleurs scores.</p>
<p>Ce problème est réglé dans la version 1-14.2 pour l'actuelle
distribution stable (woody), dans celle 1-9.1 pour l'ancienne distribution
stable (potato) et dans celle 1-16 pour la distribution instable
(sid).</p>
<p>Nous vous conseillons de mettre à jour vos paquets purity.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-166.data"
# $Id: dsa-166.wml,v 1.1 2002/09/13 14:11:12 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Dépassements de tampon</define-tag>
<define-tag moreinfo>
<p>Mordred Labs et d'autres ont trouvé des vulnérabilités dans PostgreSQL,
un moteur de base de données SQL objet et relationnel. Elles sont basées
sur des dépassements d'entier ou de tampon. Spécialement suspects, les longues
dates et heures, monnaies, données répétées et les noms longs de zone horaire
pouvaient planter le serveur de PostgreSQL ainsi que les données d'entrée de
<code>lpad()</code> et de <code>rpad()</code>. D'autres débordements furent
trouvés dans <code>circle_poly()</code>, <code>path_encode()</code> et <code>path_addr()</code>.</p>
<p>Sauf pour ces trois dernières fonctions, ces problèmes sont réglés dans
le source original version 7.2.2 de PostgreSQL dont l'utilisation est
recommandée.</p>
<p>La plupart de ces soucis n'existe pas dans la version contenue dans
potato de Debian vu que les fonctionnalités ne sont pas implantées.
Cependant, PostgreSQL 6.5.3 est assez vieux et il peut contenir des
risques bien pires et ils pourraient atteindre à l'intégrité de vos
données.</p>
<p>Nous vous conseillons de ne plus utiliser cette version et de mettre à
jour votre système avec la Debian 3.0 incluant PostgreSQL 7.2.1
à la place, où de nombreux bogues sont corrigés et de nouvelles capacités
améliorent la compatibilité avec les standards SQL.</p>
<p>Si vous envisagez une mise à jour, sauvegardez toutes vos bases de données
sur votre système avec l'utilitaire pg_dumpall. Prenez en considération le
fait que cette version plus récente est plus stricte dans sa gestion des
entrées. Ceci signifie que des tests comme <code>"foo = NULL"</code> qui
ne sont pas valides ne seront plus acceptés. Aussi en utilisant l'encodage
UNICODE, ceux ISO 8859-1 et ISO 8859-15 ne sont plus valides pour les
relations. Vous devez donc convertir l'image sauvegardée en utilisant
<kbd>recode latin1..utf-16</kbd>.</p>
<p>Ces problèmes sont corrigés dans la version 7.2.1-2woody2 pour
l'actuelle distribution stable (woody) et celle 7.2.2-2 pour la
distribution instable (sid). L'ancienne distribution stable (potato) n'est que
partiellement affecté et nous offrons une version 6.5.3-27.2 corrigée
de ce paquet.</p>
<p>Nous vous recommandons de mettre à jour vos paquets PostgreSQL.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-165.data"
# $Id: dsa-165.wml,v 1.2 2002/09/12 15:35:04 alfie Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
Reply to: