[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] webwml://security/2004/dsa-{418,422,431}.wml



Début du rattrapage des DSA en retard. Je continuerai avec les autres
DSA dans les prochains jours.

-- 
Zorglub
Clément Stenac
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>fuite de privilèges</define-tag>
<define-tag moreinfo>
<p>Un bogue a été découvert dans <i>vbox3</i>, un système de
répondeur vocal pour <i>isdn4linux</i>. Des privilèges de
super-utilisateur ne sont pas abandonnés correctement avant l'exécution
d'un script tcl fourni par l'utilisateur. En exploitant cette
vulnérabilité, un utilisateur local pourrait obtenir les privilèges du
super-utilisateur.</p>

<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a été
corrigé dans la version&nbsp;0.1.7.1.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version&nbsp;0.1.8.</p>

<p>Nous vous recommandons de mettre à jour votre paquet vbox3.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-418.data"
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>vulnérabilité à distance</define-tag>
<define-tag moreinfo>
<p>Le système de gestion des comptes du pserveur CVS (qui est utilisé
pour donner à des utilisateurs distants accès aux entrepôts CVS)
utilise un fichier <kbd>CVSROOT/passwd</kbd> dans chaque entrepôt,
contenant les comptes et leurs informations d'authentification, ainsi
que le nom du compte Unix local à utiliser lors de l'utilisation d'un
compte pserveur. Comme CVS ne vérifiait pas quel compte Unix était
spécifié, toute personne à même de modifier <kbd>CVSROOT/passwd</kbd>
pouvait obtenir un accès à tous les utilisateurs locaux du serveur CVS,
y compris le super-utilisateur.</p>

<p>Ce problème a été corrigé dans la version amont 1.11.11 en empêchant
le pserveur de tourner en tant que super-utilisateur. Pour Debian, ce
problème a été corrigé dans la version&nbsp;1.11.1p1debian-9 de deux
façons différentes&nbsp;:</p>

<ul>

<li>pserveur ne peut plus utiliser le compte du super-utilisateur pour
accéder aux entrepôts&nbsp;;</li>

<li>un nouveau fichier, <kbd>/etc/cvs-repouid</kbd>, a été introduit.
Il peut être utilisé par l'administrateur du système pour forcer le
compte Unix à utiliser lors de l'accès à l'entrepôt. Des informations
complémentaires sur cette modification peuvent être trouvées à l'adresse
<url "http://www.wiggy.net/code/cvs-repouid/";></li>
</ul>

<p>De plus, le pserveur CVS avait un bogue dans la lecture des requêtes
sur des modules, qui pouvait être utilisé pour créer des fichiers et
des répertoires à l'extérieur d'un entrepôt. Ce problème a été corrigé
dans la version amont 1.11.11 et dans la version&nbsp;1.11.1p1debian-9
pour Debian.</p>

<p>Enfin, le masque utilisé pour &ldquo;cvs init&rdquo; et
&ldquo;cvs-makerepos&rdquo; a été modifié afin que les entrepôts ne
soient pas créés avec des permissions d'écriture pour le groupe.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-422.data"
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Fuite d'informations</define-tag>
<define-tag moreinfo>

<p>Paul Szabo a découvert un certain nombre de bogues similaires dans
<i>suidperl</i>, un utilitaire pour lancer des scripts Perl avec des
privilèges setuid. En exploitant ces bogues, un attaquant pourrait
découvrir certaines informations sur des fichiers (telles que le test
de leur existence et de certaines de leurs permissions) qui ne sont
normalement pas accessibles aux utilisateurs sans privilèges.</p>

<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a
été corrigé dans la version&nbsp;5.6.1-8.6.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème
sera corrigé prochainement. Référez-vous au bogue Debian <a
href="http://bugs.debian.org/220486";>#220486</a>.</p>

<p>Nous vous recommandons de mettre à jour votre paquet perl si vous
avez <i>perl-suid</i> d'installé.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-431.data"

Reply to: