[maj] webwml:/security/2003/dsa-307,314.wml
Bonsoir,
Voici la mise à jour hebdomadaire pour les DSAs.
Merci pour vos relectures, Thomas.
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Rick Patel a découvert qu'<i>atftpd</i> est vulnérable à un dépassement de
tampon quand un nom de fichier long est envoyé au serveur. Un attaquant
pouvait exploiter ce bogue à distance pour exécuter n'importe quel code
sur le serveur.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans
la version 0.6.1.1.0woody1.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) ne contient pas de paquet
atftp.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème sera bientôt
corrigé.</p>
<p>Nous vous recommandons de mettre à jour votre paquet atftp.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-314.data"
# $Id: dsa-314.wml,v 1.2 2003/06/12 19:32:04 pmachard Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Plusieurs failles</define-tag>
<define-tag moreinfo>
<p>gPS est une application graphique permettant de voir les processus système.
Dans la version 1.1.0 du paquet gps, plusieurs failles de sécurité
ont été corrigées, comme détaillé dans le journal de changements :</p>
<ul>
<li>un correctif concernant un bogue dans la politique d'acceptation des
sources de connexion rgpsp (il permettait à n'importe quelle
machine de se connecter même si le fichier /etc/rgpsp.conf disait le
contraire). Il est maintenant opérationnel mais pour tout réseau de
production, je suggère d'utiliser le filtrage IP pour renforcer cette
politique (comme ipchains ou iptables) ;
<li>plusieurs dépassements de tampon possibles ont été corrigés. Merci à
Stanislav Ievlev de ALT-Linux pour en avoir indiqué un grand nombre
<li>une correction dans le formatage des paramètres de la ligne de commande
dans le protocole rgpsp (des lignes de commande avec des retours à la ligne
pouvaient planter le protocole) ;
<li>un dépassement de tampon corrigé qui causait une erreur de segmentation
dans rgpsp quand la ligne de commande liée au processus était trop longue
(> 128 caractères) [Linux seulement].
</ul>
<p>Tous ces problèmes affectent le paquet gps Debian version 0.9.4-1 pour
Debian <i>Woody</i>. Debian <i>Potato</i> contient aussi un paquet gps
version 0.4.1-2 mais il n'est pas affecté par ces problèmes, vu que
la fonctionalité en question n'est pas implémentée dans cette version.</p>
<p>Pour la distribution stable (<i>Woody</i>), ces problèmes ont été corrigés
dans la version 0.9.4-1woody1.</p>
<p>L'ancienne distribution stable (<i>Potato</i>) n'est pas affectée par ces
problèmes.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 1.1.0-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet gps.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-307.data"
# $Id: dsa-307.wml,v 1.3 2003/05/30 15:19:38 pmachard Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
Reply to: