[rfr] webwml://security/2004/{dsa-583,dsa-584,dsa-585,dsa-594}.wml
Bonjour,
Traitement de l'encours.
Merci de vos relectures, Thomas.
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Répertoire temporaire non sécurisé</define-tag>
<define-tag moreinfo>
<p>Les développeurs de Trustix ont découvert la création de fichiers
temporaires non sécurisée dans un script complémentaire dans le paquet
<i>lvm10</i> qui ne faisait pas les vérifications concernant la présence de
répertoires temporaires déjà existants, permettant aux utilisateurs locaux
d'écraser des fichiers via une attaque par lien symbolique.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version 1.0.4-5woody2.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 1.0.8-8.</p>
<p>Nous vous recommandons de mettre à jour votre paquet lvm10.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-583.data"
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Faille de sécurité de format de chaîne de caractères</define-tag>
<define-tag moreinfo>
<p><i>infamous41md</i> a remarqué que les fonctions du journal d'activité dans
<i>dhcp 2.x</i>, qui est toujours distribué dans la version stable de
Debian, contenait des paramètres passer à des fonctions en tant que chaînes
de caractères. Un de ceux-là peut être exploitable avec un serveur DNS
malveillant.</p>
<p>Pour la distribution stable (<i>Woody</i>), ces problèmes ont été corrigés
dans la version 2.0pl5-11woody1.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 2.0pl5-19.1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet dhcp.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-584.data"
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>Une faille de sécurité a été découverte dans la suite <i>shadow</i> qui
fournit des programmes comme <i>chfn</i> et <i>chsh</i>. Il est possible pour
un utilisateur, qui est connecté mais avec un mot de passe expiré de changer
ses informations concernant son compte avec <i>chfn</i> ou <i>chsh</i> sans
avoir à changer le mot de passe. Le problème était considéré comme plus
grave au début.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version 20000902-12woody1.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 4.0.3-30.3.</p>
<p>Nous vous recommandons de mettre à jour votre paquet passwd (de la
suite shadow).</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-585.data"
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Dépassements de tampon</define-tag>
<define-tag moreinfo>
<p>Deux failles de sécurité ont été identifiées dans le serveur web
Apache 1.3 :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0940">\
CAN-2004-0940</a>
<p><i>Crazy Einstein</i> a découvert une faille de sécurité dans le
module <i>mod_include</i>, qui peut causer le dépassement d'un tampon et
donc mener à l'exécution de n'importe quel code ;</p>
<li>PAS D'IDENTIFIANT
<p>Larry Cashdollar a découvert un dépassement de tampon potentiel dans
l'utilitaire <i>htpasswd</i>, qui pouvait être exploité quand l'utilisateur
tape son mot de passe à cet utilitaire via un script CGI (ou PHP, ou
ePerl, ...).</p>
</ul>
<p>Pour la distribution stable (<i>Woody</i>), ces problèmes ont été corrigés
dans la version 1.3.26-0woody6.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 1.3.33-2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets apache.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-594.data"
Reply to: