[ddr] webwml:/security/1999/dsa19990607-19990804
Bonjour à tous,
Voici mon ballot de 5. Merci d'avance de vos relectures.
Thomas.
<define-tag moreinfo>La version de samba distributée dans Debian
GNU/Linux 2.1 a quelques problèmes de sécurité :
<ul>
<li>une attaque par saturation contre <code>nmbd</code> était possible ;
<li>il était aussi possible de pirater <code>smbd</code> si vous aviez un
message de commande défini utilisant les balises de format %f ou %M.
<li>la vérification de <code>smbmnt</code> si un utilisateur peut créer un
montage permettait anormalement aux utilisateurs de monter n'importe où dans
le système de fichiers.
</ul>
<p>Ces problèmes sont réglés dans la version 2.0.5a-1. Une mise à jour
immédiate des paquets samba est nécessaire.
<p>Remarquez que ceci constitue une mise à jour majeure. Donc, soyez prudent
durant la mise à niveau car certains changements dans le fichier de
configuration seront nécessaires. La localisationde ce fichier a d'ailleurs
changé (/etc/samba).
<p>Le paquet smbfsx est rendu obsolète avec cette version et est remplacé par
smbfs, qui fonctionne avec les noyaus 2.0 et 2.2 dorénavant.</define-tag>
<define-tag description>Problèmes de sécurité corrigés dans la nouvelle
version originale</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/1999/19990804.data'
#use wml::debian::translation-check translation="1.6" maintainer="Thomas Marteau"
<define-tag moreinfo>Nous avons appris que la version de mailman fourni par
Debian GNU/Linux 2.1 rencontre un problème en vérifiant les
administrateurs des listes. La génération de chiffre pour le témoin de
connexion (<i>cookie</i>) était prédictible. Ainsi, en se fabriquant son
propre témoin valide, il était possible d'accéder aux pages d'administration
sans connaître pour autant le mot de passe. Plus d'informations à propos de
cette vulnérabilité ici :
<fileurl http://www.python.org/pipermail/mailman-developers/1999-June/001128.html>.
Ceci est réparé dans la version 1.0rc2-5.</define-tag>
<define-tag description>Autentification peu sure de l'administrateur</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/1999/19990623.data'
#use wml::debian::translation-check translation="1.6" maintainer="Thomas Marteau"
<define-tag moreinfo>Nous avons reçu des rapports comme quoi le paquet man-db
fourni dans Debian GNU/Linux 2.1 contient une version vulnérable du
programme zsoelim :
Il était une victime potentielle d'une attaque par lien symbolique. Ceci a été
réparé dans la version 2.3.10-69FIX.1</define-tag>
<define-tag description>Attaque par lien symbolique</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/1999/19990612.data'
#use wml::debian::translation-check translation="1.5" maintainer="Thomas Marteau"
<define-tag moreinfo>La version des outils imap dans Debian GNU/Linux 2.1
contient un démon POP-2, qui fait partie du paquet ipopd, vulnérable.
En utilisant cette faiblesse, il est possible pour un utilisateur distant
d'entrer en mode commande comme l'utilisateur <i>nobody</i> sur le
serveur.</define-tag>
<define-tag description>Vulnérabilité dans le démon POP-2</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/1999/19990607a.data'
#use wml::debian::translation-check translation="1.7" maintainer="Thomas Marteau"
<define-tag moreinfo>Les noyaux Linux 2.2.x ont un problème pour analyser
les options IP ce qui rend une attaque par saturation possible. La
version 2.1 de Debian GNU/Linux (<i>slink</i>) pour l'architecture SPARC
de Sun utilise de tels noyaux. Si vous utilisez un tel système et que vous
n'avez pas mis à jour votre noyau par vos propres soins, nous vous
recommandons de mettre à jour le paquet kernel-image. Si votre machine est une
sun4, utilisez kernel-image-2.2.9-sun4u. Sinon, le paquet kernel-image-2.2.9
fera l'affaire. Seule cet architecture utilise un noyau 2.2 par défault dans
la version <i>slink</i>.</define-tag>
<define-tag description>Refus de service dans les noyaux 2.2.x</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/1999/19990607.data'
#use wml::debian::translation-check translation="1.5" maintainer="Thomas Marteau"
Reply to: