[DDR] webwml://security/2003/dsa-230.wml, dsa-231.wml
Re(bonjour)
voici les traduction des alertes de sécurité 230 et 231, bugzilla et dhcp3.
Merci par avance pour les relectures,
a+
--
Pierre Machard
<pmachard@tuxfamily.org> TuxFamily.org
<pmachard@techmag.net> techmag.info
+33(0)668 178 365 http://migus.tuxfamily.org/gpg.txt
GPG: 1024D/23706F87 : B906 A53F 84E0 49B6 6CF7 82C2 B3A0 2D66 2370 6F87
#use wml::debian::translation-check translation="1.2" maintainer="Pierre Machard"
<define-tag description>Permissions non sécurisées, fichiers de sauvegarde frauduleux</define-tag>
<define-tag moreinfo>
<p>Deux failles ont été découvertes par les auteurs de Bugzilla, un système de
suivi des bogues via le web. Le projet <i>Common Vulnerabilities and
Exposures</i> a identifié les failles suivantes :</p>
<dl>
<dt>CAN-2003-0012 (BugTraq ID 6502)</dt>
<dd>
<p>
Le script fournissant la collection des données, censé être
lancé dans une tâche de cron nocturne, modifie les permission du répertoire
data/mining et le rend accessible en écriture par tout le monde. Cela
peut permettre à des utilisateurs locaux d'altérer ou d'effacer les données
qui ont été rassemblées.
</p>
</dd>
<dt>CAN-2003-0013 (BugTraq ID 6501)</dt>
<dd>
<p>
Les scripts .htaccess par défaut qui sont fabriqués par checksetup.pl
n'empêche par l'accès aux sauvegardes du fichier localconfig qui peut
être créé par des éditeurs tel que vi ou emacs (généralement ces fichiers
contiennent les suffixes .swp ou ~). Cela permet à un utilisateur de
télécharger une de ces copies de sauvegardes et éventuellement d'obtenir
le mot de passe de votre base de données.
</p>
<p>
Cela ne concerne pas l'installation « Debian » car il n'y
a pas de fichier .htaccess étant donné que tous les fichiers de données
ne se trouve pas dans le chemin des CGI comme ils le sont dans le paquet
standard de Bugzilla. De plus, la configuration se trouve dans
le fichier /etc/bugzilla/localconfig et par conséquent n'est pas visible
depuis le répertoire web.</p>
</dd>
</dl>
<p>Pour l'actuelle distribution stable (<i>Woody</i>), ces problèmes ont été
corrigés dans la version 2.14.2-0woody4.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) ne contient pas de paquet
Bugzilla.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème sera prochainement
corrigé.</p>
<p>Nous vous recommandons de mettre à jour vos paquets bugzilla.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-230.data"
#use wml::debian::translation-check translation="1.1" maintainer="Pierre Machard
"
<define-tag description>Débordements de pile</define-tag>
<define-tag moreinfo>
<p>L'<i>Internet Software Consortium</i> a découvert plusieurs failles
en auditant le démon ISC DHCP. Les failles existent dans le traitement
des routines dans lesquelles la bibliothèque <i>minires</i> peut être
exploité par débordements de piles. Cela peut permettre à un assaillant
distant d'exécuter un code arbitraire sous l'identifiant de l'utilisateur
avec lequel dhcp fonctionne, généralement <i>root</i>. Les autres serveurs
DHCP, autre que dhcp3 ne semblent pas touchés par ces failles.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans
la version 3.0+3.0.1rc9-2.1.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) ne contient pas de paquets
dhcp3.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 3.0+3.0.1rc11-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet dhcp3-server.</p>
Reply to: