[ddr] webwml:/security/2003/dsa-292,293,294.wml
Bonsoir,
Voici les dernières DSAs. La dsa-294 a été très dure malgré l'aide de
Jean Philippe Gaulier.
Merci de vos relectures, Thomas.
<define-tag description>Apostrophes manquantes et analyseur incomplet</define-tag>
<define-tag moreinfo>
<p>Brian Campbell a découvert deux problèmes de sécurité dans
<i>gkrellm-newsticker</i>, un ajout logiciel pour le programme moniteur système
gkrellm, qui fournit un encadré de nouvelles en se basant sur les fichiers
RDF. Le projet <i>Common Vulnerabilities and Exposures</i> identifie les
problèmes suivants :</p>
<dl>
<dt><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0205">CAN-2003-0205</a></dt>
<dd>
Il peut démarrer un navigateur web du choix de l'utilisateur quand le
titre de la nouvelle est sélectionné en utilisant le URI donné par le RDF.
Cependant, des caractères shell spéciaux ne sont pas correctement échappés
permettant à un serveur de RDF malveillant d'exécuter n'importe quelle
commande shell sur les machines clientes </dd>
<dt><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0206">CAN-2003-0206</a></dt>
<dd>
Il plante le système entier gkrellm si le titre ou le lien ne tient pas sur
une seule ligne. Un serveur malveillant pouvait alors faire un déni de
service.</dd>
</dl>
<p>Pour la distribution stable (<i>Woody</i>), ces problèmes ont été corrigés
dans la version 0.3-3.1</p>
<p>L'ancienne distribution stable (<i>Potato</i>) n'est pas affectée étant
donné qu'elle ne contient le paquet gkrellm-newsticker.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ne sont pas
encore corrigés.</p>
<p>Nous vous recommandons de mettre à jour votre paquet gkrellm-newsticker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-294.data"
# $Id: dsa-294.wml,v 1.1 2003/04/23 16:00:09 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Exécution non-sécurisée</define-tag>
<define-tag moreinfo>
<p>L'équipe KDE a découvert une faille de sécurité dans la façon dont KDE
utilise le logiciel <i>Ghostscript</i> pour lire les fichiers PostScript (PS)
et PDF. Un attaquant pouvait fournir un fichier PostScript ou PDF via courriel
ou par leur site web. Il serait conçu pour permettre d'exécuter n'importe
quelle commande sous les privilèges de l'utilisateur visualisant le fichier
ou quand le navigateur génère le listing du répertoire avec les
mini-aperçus.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version 2.2.2-13.woody.7 de kdelibs et les paquets associés.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) n'est pas concernée étant
donné qu'elle ne contient pas KDE.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème sera bientôt
corrigé.</p>
<p>Pour le rétroportage non officiel de KDE 3.1.1 à <i>Woody</i> par Ralf
Nolden sur download.kde.org, ce problème a été corrigé dans la
version 3.1.1-0woody3 de kdelibs. Pour obtenir le rétroportage normal,
vous aurez à mettre cette ligne pour apt-get :</p>
<p> deb http://download.kde.org/stable/latest/Debian stable main</p>
<p>Nous vous recommandons de mettre à jour votre paquet kdelibs et les autres
paquets associés.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-293.data"
# $Id: dsa-293.wml,v 1.1 2003/04/23 14:13:37 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Création non-sécurisée de fichiers temporaires</define-tag>
<define-tag moreinfo>
<p>Colin Phipps a découvert plusieurs problèmes dans <i>mime-support</i>, qui
conteint les programmes offrant les fonctionnalités pour le contrôle de
fichiers MIME comme <i>mime.types</i> et <i>mailcap</i>. Quand un
fichier temporaire doit être utilisé, il est céé de manière non-sécurisée,
permettant à un attaquant d'écraser n'importe quel fichier avec l'identité de
l'utilisateur utilisant <i>run-mailcap</i>. De plus, le programme n'échappe
pas proprement les caractères d'échappements shell quand on exécute une
commande. Cependant, il ne semble pas être exploitable.</p>
<p>Pour la distribution stable (<i>Woody</i>), ces problèmes ont été corrigés
dans la version 3.18-1.1.</p>
<p>Pour l'ancienne distribution stable (<i>Potato</i>), ces problèmes ont été
corrigés dans version 3.9-1.1.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 3.22-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mime-support.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-292.data"
# $Id: dsa-292.wml,v 1.2 2003/04/23 17:10:37 joey Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
Reply to: