[DDR] webwml://security/2002/dsa-143.wml|dsa-144.wml
Bonjour à tous,
voici les deux derniers bulletins d'alerte de sécurité. (wwwoffle et
kerberos)
Merci par avance pour les relectures
a+
--
Pierre Machard
<pmachard@tuxfamily.org> TuxFamily.org
<pmachard@techmag.net> techmag.net
+33(0)668 178 365 http://migus.tuxfamily.org/gpg.txt
GPG: 1024D/23706F87 : B906 A53F 84E0 49B6 6CF7 82C2 B3A0 2D66 2370 6F87
#use wml::debian::translation-check translation="1.1" maintainer="Pierre Machard"
<define-tag description>Débordement d'entier</define-tag>
<define-tag moreinfo>
<p>Un bogue sur un débordement d'entier a été découvert dans la bibliothèque
RPC qui est utilisée dans le système d'administration Kerberos 5 ;
la bibliothèque RPC est une bibliothèque qui dérive de la bibliothèque SunRPC.
Ce bogue peut être exploité pour obtenir un accès root sans autorisation sur
l'hôte KDC. On pense que l'assaillant a besoin de s'authentifier sur le
démon kadmin pour que cette attaque se réalise. Aucune exploitation n'est
connue pour l'instant.</p>
<p>Ce problème a été corrigé dans la version 1.2.4-5woody1 pour
l'actuelle distribution stable (<i>Woody</i>) et dans la version 1.2.5-2
pour la distribution <i>unstable</i> (<i>Sid</i>). Debian 2.2
(<i>Potato</i>) n'est pas affectée étant donné qu'elle ne contient pas de
paquets krb5.</p>
<p>Nous vous recommandons de mettre à jour vos paquets kerberos
immédiatement.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-143.data"
#use wml::debian::translation-check translation="1.1" maintainer="Pierre Machard"
<define-tag description>Traitement frauduleux de l'entrée</define-tag>
<define-tag moreinfo>
<p>Un problème a été découvert sur wwwoffle. Le mandataire web (<i>proxy</i>)
ne peut pas traiter correctement les entrées de données qui contiennent
des paramètres avec des constantes (<i>Content-Length</i>) négatives ;
cela provoque un plantage du processus fils. On ne sait pas encore si
ce problème peut conduire à une faille exploitable, mais mieux vaut
prévenir que guérir.</p>
<p>De plus, dans la version inclue dans <i>Woody</i>, des mots de passe
vides seront considérés comme faux lors de l'authentification. Toujours
dans la version inclue dans <i>Woody</i>, CanonicalHost() a été remplacé
par la routine la plus récente 2.7d, qui est inclue dans les sources.
Ceci empêche que les mauvais format d'adresses IPv6, contenus dans les URLs,
posent problèmes (réécriture de la mémoire, exploitation potentielle).</p>
<p>Ce problème a été corrigé dans la version 2.5c-10.4 pour l'ancienne
distribution stable (<i>Potato</i>), dans la version 2.7a-1.2 pour
l'actuelle distribution stable (<i>Woody</i>), et dans la version 2.7d-1
pour la distribution unstable (<i>Sid</i>).</p>
<p>Nous vous recommandons de mettre à jour vos paquets wwwoffle.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-144.data"
Reply to: