[ddr] webwml:/security/2003/dsa-357,9 et 360,1.wml
Bonjour tout le monde,
Voici les dernières DSAs. Je n'ai pas encore traduit celle sur le 2.4.18.
Merci de vos relectures, Thomas.
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Plusieurs failles de sécurité</define-tag>
<define-tag moreinfo>
<p>Deux failles de sécurité ont été découvertes dans <i>kdelibs</i> :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0459">\
CAN-2003-0459</a> : <i>Konqueror</i> pour KDE 3.1.2 et antérieur
n'enlève pas les informations d'identification dans les URLs du type
<i>utilisateur:mot_de_passe@nom_de_machine</i> dans l'en-tête HTTP-Referer,
ce qui pouvait permettre à des sites web distants de voler ces informations
depuis les pages qui pointent sur eux.</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0370">\
CAN-2003-0370</a> : <i>Konqueror Embedded</i> et KDE 2.2.2 et
antérieur ne valide pas le champ « nom commun » (<i>Common Name
(CN)</i>) pour les certificats X.509 ce qui pouvait permettre à des
attaquants distants de récupérer les certificates via une attaque de l'homme
au milieu.</li>
</ul>
<p>Ces failles de sécurité sont décrites dans les annonces de sécurité KDE
suivantes :</p>
<p>http://www.kde.org/info/sécurité/annonce-20030729-1.txt
http://www.kde.org/info/sécurité/annonce-20030602-1.txt</p>
<p>Pour la distribution stable (<i>Woody</i>), ces problèmes ont été corrigés
dans la version 2.2.2-13.woody.8.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 4:3.1.3-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet kdelibs.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-361.data"
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Plusieurs failles de sécurité</define-tag>
<define-tag moreinfo>
<p><i>xfstt</i>, un serveur de polices TrueType pour le gestionnaire graphique
X, contient deux types de failles de sécurité :</p>
<p><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0581">\
CAN-2003-0581</a> : un attaquant distant pouvait envoyer des requêtes
conçues pour déclencher n'importe quel dépassement de tampon, causant un
déni de service ou l'exécution potentielle de n'importe quel code sur le
serveur avec les privilèges de l'utilisateur <i>nobody</i>.</p>
<p><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0625">\
CAN-2003-0625</a> : certaines données invalides envoyées durant la
négociation de la connexion pouvait permettre à un attaquant distant de lire
certaines régions de la mémoire appartenant au processus <i>xfstt</i>. Cette
information pouvait être utilisée pour l'identification du système ou pour
aider l'exploitation d'une faille de sécurité différente.</p>
<p>Pour la distribution stable (<i>Woody</i>), ces problèmes ont été corrigés
dans la version 1.2.1-3.</p>
<p>Pour la distribution instable (<i>Sid</i>), CAN-2003-0581 est corrigé dans
xfstt 1.5-1 et CAN-2003-0625 va être bientôt corrigé.</p>
<p>Nous vous recommandons de mettre à jour votre paquet xfstt.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-360.data"
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Dépassements de tampon</define-tag>
<define-tag moreinfo>
<p>Steve Kemp a découvert plusieurs dépassements de tampon dans
<i>atari800</i>, un émulateur Atari. Vu qu'il doit accéder directement dans
la mémoire graphique, l'un des programmes affectés a les droits de <i>root</i>.
Un attaquant local pouvait exploiter cette faille de sécurité pour obtenir
les privilèges de <i>root</i>.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans
la version 1.2.2-1woody2.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème va être corrigé
bientôt. Allez voir le
<a href="http://bugs.debian.org/203707">bogue n° 203707</a> de Debian.</p>
<p>Nous vous recommandons de mettre à jour votre paquet atari800.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-359.data"
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Exploitation à distance de <i>root</i></define-tag>
<define-tag moreinfo>
<p><i>iSEC Security Research</i> rapporte que <i>wu-ftpd</i> contient un
bogue de dépassement d'indice dans la fonction <code>fb_realpath</code> qui
pouvait être exploité par un utilisateur connecté (en local ou en tant
qu'anonyme) pour obtenir les privilèges de <i>root</i>. Une démonstration de
cette exploitation est d'ailleurs disponible.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans
la version 2.6.2-3woody1. </p>
<p>Pour la distribution instable (<i>Sid</i>), une mise à jour sera bientôt
disponible.</p>
<p>Nous vous recommandons de mettre à jour votre paquet wu-ftpd
immédiatement.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-357.data"
Reply to: