[ddr] webwml:/security/2002/dsa-19[789].wml
Bonjour à tous,
On a fini les DSAs.
Merci de vos relectures, Thomas.
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Un problème dans sqwebmail du paquet Courier, un programme CGI qui
donne un accès autentifié aux boîtes-à-lettres locales, a été découvert.
Le programme ne relache pas les permissions assez vite au démaarage sous
certaines circonstances. Ainsi, un utilisateur local peut alors exécuter
sqwebmail et lire n'importe quel fichier du système de fichiers local.</p>
<p>Ce problème a été corrigé dans la version 0.37.3-2.3 pour l'actuelle
distribution stable (<i>Woody</i>) et dans la version 0.40.0-1
pour la distribution instable (<i>Sid</i>). L'ancienne distribution stable
(<i>Potato</i>) ne contient pas le paquet Courier sqwebmail. Les paquets
<code>courier-ssl</code> ne sont pas affectés étant donné qu'ils ne sont
pas basés sur un paquet sqwebmail.</p>
<p>Nous vous recommandons de mettre à jour votre paquet sqwebmail
immédiatement.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-197.data"
# $Id: dsa-197.wml,v 1.2 2002/11/18 08:19:15 joey Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Déni de service</define-tag>
<define-tag moreinfo>
<p>Un problème a été découvert dans nullmailer, un simple agent de transport
de courriels qui ne fait que du relais pour des machines qui tranfèrent
les messages vers un jeu de relais plus intelligents. Quand un
courriel est délivré localement à un utilisateur qui n'existe pas,
nullmailer essaye de le livrer, découvre que l'utilisateur n'existe pas et
arrête la livraison. Malheureusement, il arrête totalement tout travail et
pas seulement ce message en question. Ainsi, il est facile de faire un
déni de service ainsi.</p>
<p>Ce problème a été corrigé dans la version 1.00RC5-16.1woody2
pour l'actuelle distribution stable (<i>Woody</i>) et dans la
version 1.00RC5-17 pour la distribution instable (<i>Sid</i>).
L'ancienne distribution stable (<i>Potato</i>) ne contient pas de paquet
nullmailer.</p>
<p>Nous vous recommandons de mettre à jour votre paquet nullmailer.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-198.data"
# $Id: dsa-198.wml,v 1.1 2002/11/18 15:25:11 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Faille sur les éléments dynamiques</define-tag>
<define-tag moreinfo>
<p>Steven Christey a découvert une faille sur les éléments dynamiques de
mhonarc, un convertisseur courriel vers HTML. Des en-têtes de message
soigneusement conçus peuvent introduire une attaque par les scripts si
mhonarc est configuré pour afficher toutes les lignes d'en-tête sur le
web. Cependant, il est souvent utile de réduire l'affichage aux lignes
<i>To</i>, <i>From</i> et <i>Subject</i>, cas dans lequel la faille n'est
pas exploitable.</p>
<p>Ce problème a été fixé dans la version 2.5.2-1.2 pour l'actuelle
distribution stable (<i>Woody</i>), dans la version 2.4.4-1.2 pour
l'ancienne distribution stable (<i>Potato</i>) et dans la
version 2.5.13-1 pour la distribution instable (<i>Sid</i>).</p>
<p>Nous vous recommandons de mettre à jour votre paquet mhonarc.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-199.data"
# $Id: dsa-199.wml,v 1.1 2002/11/19 15:17:13 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
Reply to: