[DDR] webwml://security/2003/dsa-228.wml,dsa-229.wml

To: Debian french l10n list <debian-l10n-french@lists.debian.org>
Subject: [DDR] webwml://security/2003/dsa-228.wml,dsa-229.wml
From: Pierre Machard <pmachard@tuxfamily.org>
Date: Sun, 19 Jan 2003 16:50:10 +0100
Message-id: <20030119155010.GA5181@twinette.migus.eu.org>
Mail-followup-to: Pierre Machard <pmachard@tuxfamily.org>, Debian french l10n list <debian-l10n-french@lists.debian.org>

Bonjour à tous,

voici les traductions des dsa-228 et 229. (libmcrypt et imp)

merci par avance pour les relectures,

a+
-- 
                                Pierre Machard
<pmachard@tuxfamily.org>                                  TuxFamily.org
<pmachard@techmag.net>                                     techmag.info
+33(0)668 178 365                    http://migus.tuxfamily.org/gpg.txt
GPG: 1024D/23706F87 : B906 A53F 84E0 49B6 6CF7 82C2 B3A0 2D66 2370 6F87

#use wml::debian::translation-check translation="1.3" maintainer="Pierre Machard"
<define-tag description>Ajout de SQL</define-tag>
<define-tag moreinfo>
<p>Jouko Pynnonen a découvert un problème dans IMP, un programme d'email
IMAP utilisant le web. En utilisant une URL conçue à dessein un attaquant
distant est capable d'injecter du code SQL dans les requêtes SQL sans
que l'utilisateur ne soit correctement authentifié. Même si les résultats
des requêtes SQL ne sont pas directement lisibles à partir de l'écran,
un attaquant pourrait mettre à jour sa signature email pour qu'elle contienne
les résultats des requêtes voulues et ensuite les afficher sur la page
des préférences d'IMP.</p>

<p>La conséquence de cet ajout de SQL dépend grandement de la base de données
sous-jacente et de sa configuration. Si PostgreSQL est utilisé, il est possible
d'exécuter de multiples requêtes SQL complètes séparées par des point-virgules.
La base de données contient un identifiant de session, ainsi un assaillant
pourrait détourner les sessions des personnes actuellement connectées et lisant
leur email. Dans le pire des cas, si l'utilisateur <i>hordemgr</i> a les droits
suffisants pour utiliser la commande <i>COPY SQL</i> (qui se trouve au moins
dans PostgeSQL), un attaquant distant peut lire ou écrire dans tous les 
fichiers auxquels l'utilisateur de la base de données (postgres) a accès. 
L'attaquant peut être en mesure de lancer des commandes shell arbitraires en
les écrivant dans le fichier <i>~/.psqlrc<i> de l'utilisateur postgres&nbsp;;
ces commandes seront lancées lorsque l'utilisateur lancera la commande psql
qui dans certaines configuration arrive périodiquement depuis un script 
cron.</p>

<p>Pour l'actuelle distribution stable (<i>Woody</i> ce problème a été
corrigé dans la version&nbsp;2.2.6-5.1.</p>

<p>Pour l'ancienne distribution stable (<i>Potato</i>) ce problème a été
corrigé dans la version&nbsp;2.2.6-0.potato.5.1.</p>

<p>Pour la distribution instable (<i>Sid</i>) ce problème a été corrigé dans
la version&nbsp;2.2.6-7.</p>

<p>Nous vous recommandons de mettre à jour vos paquets IMP.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-229.data"

#use wml::debian::translation-check translation="1.3" maintainer="Pierre Machard"
<define-tag description>Débordements de tampon et fuite mémoire</define-tag>
<define-tag moreinfo>
<p>Ilia Alshanetsky a découvert plusieurs débordements de tampon dans
libmcrypt, une bibliothèque de déchiffrement et de chiffrement. Ces 
débordements trouvent leurs origines dans une validation incorrecte ou
absente des entrées. En passant des entrées qui sont plus grandes que la 
normale, à plusieurs fonctions (plusieurs fonctions sont concernées),
l'utilisateur peut réussir à faire planter libmcrypt et peut dans certains
cas, être en mesure d'insérer un code arbitraire malicieux qui sera exécuté
sous l'identifiant de l'utilisateur qui fait fonctionner libmcrypt, par
exemple dans un serveur web.</p>

<p>Une autre vulnérabilité existe dans la façon dont libmcrypt charge les
algorithmes via libtool. Lorsque différents algorithmes sont chargés 
dynamiquements, à chaque fois, un algorithme est chargé&nbsp;: un petite
partie de la mémoire est perdue. Dans un environnement persistant (comme
un serveur web) cela peut permettre de saturer la mémoire en accaparant
toute la mémoire disponible en lançant des requêtes répétitives qui utilisent
la bibliothèque mcrypt.</p>

<p>Pour l'actuelle distribution stable (<i>Woody</i>) ces problèmes ont
été corrigés dans la version&nbsp;2.5.0-1woody1.</p>

<p>L'ancienne distribution stable (<i>Potato</i>) ne contient pas le paquet
libmcrypt.</p>

<p>Pour la distribution instable (<i>Sid</i>) ces problèmes ont été corrigés
dans la version&nbsp;2.5.5-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libmcrypt.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-228.data"

Reply to:

Prev by Date: Debian WWW CVS commit by pmachard: webwml/french/events/2001 0704-debcon.wml
Next by Date: Re: [DDR] [MàJ] webwml://devel/join/nm-step1.wml
Previous by thread: Debian WWW CVS commit by pmachard: webwml/french/events/2001 0704-debcon.wml
Next by thread: [DDR] webwml://security/2003/dsa-232.wml
Index(es):
- Date
- Thread