[ddr] webwml:/security/2003/dsa-256,7 et 260.wml
Bonsoir,
De petites corrections apportées par Olivier.
Merci de vos relectures, Thomas.
<define-tag description>Fichier temporaire non sécurisé</define-tag>
<define-tag moreinfo>
<p>Un problème a été découvert dans <i>adb2mhc</i> contenu dans le paquet
mhc-utils. Le répertoire temporaire par défaut utilise un nom prévisible.
Il en résulte une faille de sécurité qui permet à un attaquant local
d'écrire dans n'importe quel fichier sur lequel l'utilisateur a le droit
en écriture.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans
la version 0.25+20010625-7.1.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) n'est pas affectée par ce
problème.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans
la version 0.25+20030224-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet mhc-utils.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-256.data"
# $Id: dsa-256.wml,v 1.1 2003/05/30 15:19:38 pmachard Exp $
#use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force"
<define-tag description>Exploitation à distance</define-tag>
<define-tag moreinfo>
<p>Mark Dowd de ISS X-Force a trouvé un bogue dans les routines parsant
les en-têtes de <i>sendmail</i>&nbs;: il pouvait dépasser un tampon quand
elles rencontraient des adresses avec de très longs commentaires. Vu que
<i>sendmail</i> parse aussi les en-têtes quand il fait suivre des courriels
cette faille de sécurité peut aussi toucher les serveurs qui ne délivrent
pas le courriel.</p>
<p>Ceci a été corrigé dans la version originale 8.12.8,
dans la version 8.12.3-5 du paquet pour Debian
GNU/Linux 3.0/<i>Woody</i> et dans la version 8.9.3-25 du paquet
pour Debian GNU/Linux 2.2/<i>Potato</i>.</p>
<p>DSA-257-2 : Des paquets mis à jour de <i>sendmail-wide</i> sont
disponibles dans la version 8.9.3+3.2W-24 pour
Debian 2.2 (<i>Potato</i>) et dans la version 8.12.3+3.5Wbeta-5.2
pour Debian 3.0 (<i>Woody</i>).</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-257.data"
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>
iDEFENSE a découvert une faille de sécurité due à un dépassement de tampon
dans le parseur du format ELF dans la commande <i>file</i>. Elle peut être
utilisée pour exécuter n'importe quel code avec les privilèges de l'utilisateur
exécutant la commande. La faille de sécurité peut être exploitée par un binaire
dont le ELF sera modifié et passé à <i>file</i>. Ceci pouvait être
accompli en laissant le binaire sur le système de fichiers et en attendant
que quelqu'un utilise <i>file</i> ou via un service qui se sert de <i>file</i>
pour classifier son entrée. (Par exemple, certains filtres d'imprimante
utilisent <i>file</i> pour déterminer comment traiter les fichiers envoyés à
l'imprimante).</p>
<p>Des paquets corrigés sont disponibles dans la version 3.28-1.potato.1
pour Debian 2.2 (<i>Potato</i>) et dans la version 3.37-3.1.woody.1
pour Debian 3.0 (<i>Woody</i>). Nous vous recommandons de mettre à jour
votre paquet file immédiatement.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-260.data"
# $Id: dsa-260.wml,v 1.2 2003/05/30 15:19:38 pmachard Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
Reply to: