Merci d'avance pour vos relectures. -- Thomas Huriaux
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" <define-tag description>Dépassements d'entier et de pile</define-tag> <define-tag moreinfo> <p>Chris Evans a découvert plusieurs dépassements d'entier et de pile dans la bibliothèque libXpm qui est incluse dans LessTif.</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 0.93.18-5.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 0.93.94-10.</p> <p>Nous vous recommandons de mettre à jour vos paquets lesstif.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-560.data"
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" <define-tag description>Dépassements d'entier et de pile.</define-tag> <define-tag moreinfo> <p>Chris Evans a découvert plusieurs dépassements d'entier et de pile dans la bibliothèque libXpm qui est fournie par X.Org, XFree86 et LessTif.</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 4.1.0-16woody4.</p> <p>Pour l'actuelle distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 4.3.0.dfsg.1-8.</p> <p>Nous vous recommandons de mettre à jour vos paquets libxpm.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-561.data"
#use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans MySQL, une base de données
très utilisée sur les serveurs Unix. Le projet « Common
Vulnerabilities and Exposures » a identifié les problèmes
suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0835";>CAN-2004-0835</a>
<p>Oleksandr Byelkin a signalé que la commande
<code>ALTER TABLE ... RENAME</code> vérifie les droits
<code>CREATE/INSERT</code> de l'ancienne table au lieu de la nouvelle.</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0836";>CAN-2004-0836</a>
<p>Lukasz Wojtow a signalé un dépassement de tampon dans la fonction
mysql_real_connect.</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0837";>CAN-2004-0837</a>
<p>Dean Ellis a signalé que plusieurs processus qui ALTERent les mêmes
(ou des différentes) tables MERGE pour changer l'UNION peuvent causer
le plantage du serveur ou son ralentissement.</p>
</li>
</ul>
<p>Pour l'actuelle distribution stable (<i>Woody</i>), ces problèmes ont
été corrigés dans la version 3.23.49-8.8.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été
corrigés dans la version 4.0.21-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet mysql et ceux qui
y sont liés, et de redémarrer les services qui s'en servent (par exemple,
Apache/PHP).</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-562.data"
#use wml::debian::translation-check translation="1.5" maintainer="DFS Task Force" <define-tag description>Entrées non vérifiées</define-tag> <define-tag moreinfo> <p>Ce bulletin est un supplément aux DSA 563-1 et 563-2 qui ne suffisaient pas pour remplacer les bibliothèques pour sparc et arm, à cause de numéros de version différents dans l'archive stable. Les autres architectures ont été mises à jour correctement. Un autre problème a cependant été signalé dans la connexion à sendmail. Il devrait être corrigé avec cette mise à jour.</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>, ce problème a été corrigé dans la version 1.5.27-3.1woody5.</p> <p>En guise de référence, veuillez lire le texte suivant :</p> <blockquote> <p>Une vulnérabilité a été découverte dans l'implémentation de Cyrus dans la bibliothèque SASL, la couche simple d'authentification et de sécurité, une méthode pour ajouter le support de l'authentification aux protocoles basés sur une connexion. La bibliothèque utilise la variable d'environnement SASL_PATH aveuglément, ce qui permet à un utilisateur local de créer un lien vers une bibliothèque malveillante pour exécuter du code arbitraire avec les privilèges d'une application avec un setuid ou un setgid.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 1.5.28-6.2 de cyrus-sasl et dans la version 2.1.19-1.3 de cyrus-sasl2.</p> </blockquote> <p>Nous vous recommandons de mettre à jour vos paquets libsasl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-563.data"
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" <define-tag description>Dépassement de tampon</define-tag> <define-tag moreinfo> <p>Ulf Härnhammar a signalé deux failles de sécurité dans SoX, un traducteur d'échantillons sonores universel. Celles-ci peuvent être exploitées par des personnes malveillantes pour compromettre le système d'un utilisateur avec un fichier .wav spécialement créé.</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ces problèmes ont été corrigés dans la version 12.17.3-4woody2.</p> <p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés dans la version 12.17.4-9.</p> <p>Nous vous recommandons de mettre à jour votre paquet sox.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-565.data"
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" <define-tag description>Entrées non vérifiées</define-tag> <define-tag moreinfo> <p>Un manque d'information a été détecté dans CUPS, le système commun d'impressions sous UNIX. Celui-ci peut conduire à la révélation d'informations sensibles, comme les noms des utilisateurs et les mots de passe qui sont écrits dans les fichiers de log.</p> <p>Le correctif utilisé élimine les informations d'authentification de l'adresse du périphérique, qui est enregistrée dans le fichier error_log. Il ne retire pas l'adresse de l'environnement et de la table des processus, c'est pourquoi les développeurs de CUPS recommandent que les administrateurs systèmes ne commencent pas par encoder les informations d'authentification dans les adresses des périphériques.</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 1.1.14-5woody7.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 1.1.20final+rc1-9.</p> <p>Nous vous recommandons de mettre à jour votre paquet CUPS.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-566.data" # $Id: dsa-566.wml,v 1.1 2004/10/14 15:28:08 joey Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Dépassement sur le tas</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes ont été découverts dans libtiff, la bibliothèque
« format marqué de fichiers d'image » pour la gestion des
graphiques TIFF. Un attaquant pourrait préparer spécialement un graphique
TIFF qui provoquerait l'exécution de code arbitraire chez le client, voire
le plantage. Le projet <i>Common Vulnerabilities and Exposures</i> a
identifié les problèmes suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0803";>CAN-2004-0803</a>
<p>Chris Evans a découvert plusieurs problèmes dans les décodeurs RLE
(encodage en taille), qui pourraient conduire à l'exécution de code
arbitraire.</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0804";>CAN-2004-0804</a>
<p>Matthias Clasen a découvert une division par zéro au travers d'un
dépassement d'entier.</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0886";>CAN-2004-0886</a>
<p>Dmitry V. Levin a découvert plusieurs dépassements d'entier qui
causent des difficultés avec malloc. Cela peut résulter soit en un
plantage complet ou en une corruption de la mémoire.</p>
</li>
</ul>
<p>Pour l'actuelle distribution stable (<i>Woody</i>), ces problèmes ont
été corrigés dans la version 3.5.5-6woody1.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 3.6.1-2.</p>
<p>Nous vous recommandons de mettre à jour votre paquet libtiff.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-567.data"
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" <define-tag description>Entrées non vérifiées</define-tag> <define-tag moreinfo> <p>Une vulnérabilité a été découverte dans l'implémentation de Cyrus dans la bibliothèque SASL, la couche simple d'authentification et de sécurité, une méthode pour ajouter le support de l'authentification aux protocoles basés sur une connexion. La bibliothèque utilise la variable d'environnement SASL_PATH aveuglément, ce qui permet à un utilisateur local de créer un lien vers une bibliothèque malveillante pour exécuter du code arbitraire avec les privilèges d'une application avec un setuid ou un setgid.</p> <p>La version du MIT de l'implémentation de Cyrus dans la bibliothèque SASL fournit des correctifs pour MIT GSSAPI et MIT Kerberos4.</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 1.5.24-15woody3.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème sera bientôt corrigé.</p> <p>Nous vous recommandons de mettre à jour vos paquets libsasl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-568.data"
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" <define-tag description>Libération invalide</define-tag> <define-tag moreinfo> <p>Michal Zalewski a découvert un bogue dans le serveur netkit-telnet (telnetd). Un attaquant à distance pouvait forcer le processus telnetd à libérer un pointeur invalide. Cela entraîne l'interruption du processus du serveur telnet, menant simplement à un déni de service (en effet, inetd désactivera le service si telnetd s'interrompt de façon répétitive), ou peut-être à l'exécution de code arbitraire doté des privilèges du processus telnetd (par défaut, ceux de l'utilisateur « telnetd »).</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 0.17.17+0.1-2woody2.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 0.17.24+0.1-4.</p> <p>Nous vous recommandons de mettre à jour votre paquet netkit-telnet-ssl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-569.data"
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" <define-tag description>Absence de vérification des entrées de l'utilisateur</define-tag> <define-tag moreinfo> <p>Davide Del Vecchio a découvert une vulnérabilité dans mpg123, un lecteur audio (de la section non-free) MPEG 1/2/3 populaire. Un fichier MPEG 2/3 pourrait provoquer l'échec de la vérification des en-têtes dans mpg123, ce qui pourrait permettre l'exécution de code arbitraire avec les privilèges de l'utilisateur lançant mpg123.</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 0.59r-13woody3.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 0.59r-16.</p> <p>Nous vous recommandons de mettre à jour votre paquet mpg123.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-564.data"
Attachment:
signature.asc
Description: Digital signature