[maj] webwml:/security/2003/dsa-307,314.wml

[Thomas Marteau <marteaut@tuxfamily.org>]

Bonsoir,

Voici la mise à jour hebdomadaire pour les DSAs.

Merci pour vos relectures, Thomas.

<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Rick Patel a découvert qu'<i>atftpd</i> est vulnérable à un dépassement de 
tampon quand un nom de fichier long est envoyé au serveur. Un attaquant 
pouvait exploiter ce bogue à distance pour exécuter n'importe quel code 
sur le serveur.</p>

<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans 
la version&nbsp;0.6.1.1.0woody1.</p>

<p>L'ancienne distribution stable (<i>Potato</i>) ne contient pas de paquet 
atftp.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème sera bientôt 
corrigé.</p>

<p>Nous vous recommandons de mettre à jour votre paquet atftp.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-314.data"
# $Id: dsa-314.wml,v 1.2 2003/06/12 19:32:04 pmachard Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"

<define-tag description>Plusieurs failles</define-tag>
<define-tag moreinfo>
<p>gPS est une application graphique permettant de voir les processus système. 
Dans la version&nbsp;1.1.0 du paquet gps, plusieurs failles de sécurité 
ont été corrigées, comme détaillé dans le journal de changements&nbsp;:</p>

<ul>
<li>un correctif concernant un bogue dans la politique d'acceptation des 
   sources de connexion rgpsp (il permettait à n'importe quelle 
   machine de se connecter même si le fichier /etc/rgpsp.conf disait le 
   contraire). Il est maintenant opérationnel mais pour tout réseau de 
   production, je suggère d'utiliser le filtrage IP pour renforcer cette 
   politique (comme ipchains ou iptables)&nbsp;;
<li>plusieurs dépassements de tampon possibles ont été corrigés. Merci à 
   Stanislav Ievlev de ALT-Linux pour en avoir indiqué un grand nombre&nbsp;
<li>une correction dans le formatage des paramètres de la ligne de commande 
   dans le protocole rgpsp (des lignes de commande avec des retours à la ligne 
   pouvaient planter le protocole)&nbsp;;
<li>un dépassement de tampon corrigé qui causait une erreur de segmentation 
   dans rgpsp quand la ligne de commande liée au processus était trop longue 
  (&gt;&nbsp;128 caractères) [Linux seulement].
</ul>

<p>Tous ces problèmes affectent le paquet gps Debian version&nbsp;0.9.4-1 pour
Debian <i>Woody</i>. Debian <i>Potato</i> contient aussi un paquet gps 
version&nbsp;0.4.1-2 mais il n'est pas affecté par ces problèmes, vu que
la fonctionalité en question n'est pas implémentée dans cette version.</p>

<p>Pour la distribution stable (<i>Woody</i>), ces problèmes ont été corrigés 
dans la version&nbsp;0.9.4-1woody1.</p>

<p>L'ancienne distribution stable (<i>Potato</i>) n'est pas affectée par ces
problèmes.</p>

<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés 
dans la version&nbsp;1.1.0-1.</p>

<p>Nous vous recommandons de mettre à jour votre paquet gps.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-307.data"
# $Id: dsa-307.wml,v 1.3 2003/05/30 15:19:38 pmachard Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"