[RFR] webwml://security/2005/dsa-{655,656,657,658,659,660,661}.wml

[simon.paillard@resel.enst-bretagne.fr]

Selon simon.paillard@resel.enst-bretagne.fr:

> Je vais traduire ces dernières DSA parues.

Pour le 655 (console CJK), c'est un peu du chinois pour moi :)

J'ai une petit doute pour le 659, qui parle de "integer underflow". J'ai
traduit par dépassement d'entier par le bas.

Merci d'avance aux relecteurs.


--
Simon Paillard

#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Abandon des privilèges manquant</define-tag>
<define-tag moreinfo>
<p>Erik Sjölund a découvert que zhcon, un système de console CJK rapide
utilisant le framebuffer, accédait avec des droits à un fichier de
configuration contrôlé par un utilisateur. Il était ainsi possible de libre des
fichiers arbitraires.</p>

<p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été
corrigé dans la version&nbsp;0.2-4woody3.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème sera bientôt
corrigé.</p>

<p>Nous vous recommandons de mettre à jour votre paquet zhcon.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-655.data"
# $Id: dsa-655.wml,v 1.1 2005/01/25 11:01:11 joey Exp $

#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Accès non sécurisé aux fichiers</define-tag>
<define-tag moreinfo>
<p>Javier Fernández-Sanguino Peña du projet d'audit de sécurité de Debian a
découvert que le démon vdr, qui est utilisé pour l'enregistrement de vidéo
depuis des cartes DVB, pouvait écraser des fichiers arbitraires.</p>

<p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été
corrigé dans la version&nbsp;1.0.0-1woody2.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème a été
corrigé dans la version&nbsp;1.2.6-6.</p>

<p>Nous vous recommandons de mettre à jour votre paquet vdr.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-656.data"
# $Id: dsa-656.wml,v 1.1 2005/01/25 12:10:49 joey Exp $

#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Un dépassement de pile a été découvert dans le décodeur DVD de sous-image de
xine-lib. Un attaquant pouvait faire exécuter du code arbitraire à la machine
de la victime en lui soumettant un fichier MPEG malicieux. En rusant les
utilisateurs pour qu'ils lisent un flux malicieux à travers un réseau,
l'attaque devient exploitable à distance.</p>

<p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été
corrigé dans la version&nbsp;0.9.8-2woody2.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème a été
corrigé dans la version&nbsp;1-rc6a-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libxine.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-657.data"
# $Id: dsa-657.wml,v 1.1 2005/01/25 14:21:47 joey Exp $

#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Fichier temporaire non sécurisé</define-tag>
<define-tag moreinfo>
<p>Javier Fernández-Sanguino Peña du projet d'audit de sécurité de Debian a
découvert que la bibliothèque DBI, l'interface Perl5 pour les bases de données,
créait un fichier PID temporaire d'une manière non sûre. Cela pouvait être
exploité par un utilisateur malveillant pour écraser arbitrairement des
fichiers appartenant à la personne qui exécute des parties de la
bibliothèque.</p>

<p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été
corrigé dans la version&nbsp;1.21-2woody2.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème a été
corrigé dans la version&nbsp;1.46-6.</p>

<p>Nous vous recommandons de mettre à jour votre paquet libdbi-perl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-658.data"
# $Id: dsa-658.wml,v 1.2 2005/01/25 16:50:34 peterk Exp $

#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Fuite d'informations, dépassement d'entier par le bas</define-tag>
<define-tag moreinfo>
<p>Deux problèmes ont été découverts dans le paquet libpam-radius-auth, le
module d'authentification RADIUS pour PAM. Le projet «&nbsp;Common
Vulnerabilities and Exposures&nbsp;» a identifié les problèmes
suivants&nbsp;:</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1340";>CAN-2004-1340</a>

    <p>Le paquet Debian installait accidentellement son fichier de
    configuration /etc/pam_radius_auth.conf lisible par tous. Si celui-ci
    contenait des informations sensibles, tous les utilisateurs locaux
    étaient capables de les lire, sauf si l'administrateur avait ajusté les
    permissions des fichiers. Ce problème était spécifique à Debian.</p>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0108";>CAN-2005-0108</a>

    <p>Leon Juranic a découvert un dépassement d'entier par le bas dans le
    module mod_auth_radius pour Apache, également présent dans
    libpam-radius-auth.</p>

</ul>

<p>Pour l'actuelle distribution stable (<i>Woody</i>), ces problèmes ont été
corrigés dans la version&nbsp;1.3.14-1.3.</p>

<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été
corrigés dans la version&nbsp;1.3.16-3.</p>

<p>Nous vous recommandons de mettre à jour votre paquet libpam-radius-auth.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-659.data"
# $Id: dsa-659.wml,v 1.2 2005/01/26 15:53:28 peterk Exp $

#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Manque de vérification de la valeur de retour</define-tag>
<define-tag moreinfo>
<p>Raphaël Enrici a découvert que l'économiseur d'écran de KDE pouvait
s'interrompre dans certains circonstances locales. Cela peut être exploité par
un attaquant disposant d'un accès physique à la machine, pour prendre le
contrôle de la session en cours.</p>

<p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été
corrigé dans la version&nbsp;2.2.2-14.9.</p>

<p>Ce problème a été corrigé en amont dans KDE&nbsp;3.0.5. Il est ainsi déjà
corrigé dans la distribution instable (<i>Sid</i>) et dans l'actuelle
distribution de test (<i>Sarge</i>).</p>

<p>Nous vous recommandons de mettre à jour votre paquet kscreensaver.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-660.data"
# $Id: dsa-660.wml,v 1.1 2005/01/26 16:28:24 joey Exp $

#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Fichiers temporaires non sécurisés</define-tag>
<define-tag moreinfo>
<p>Javier Fernández-Sanguino Peña du projet d'audit de sécurité de Debian a
découvert que f2c et fc, faisant tous les deux partie du paquet f2c, un
traducteur fortran77 vers C/C++, ouvraient les fichiers temporaires de manière
non sûre. Ils étaient ainsi vulnérables à une attaque par lien symbolique. Le
projet «&nbsp;Common Vulnerabilities and Exposures&nbsp;» a identifié les
vulnérabilités suivantes&nbsp;:</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0017";>CAN-2005-0017</a>

    <p>Multiple fichiers temporaires non sécurisés dans le traducteur f2c.</p>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0018";>CAN-2005-0018</a>

    <p>Deux fichiers temporaires non sécurisés dans le script shell f2.</p>

</ul>

<p>Pour l'actuelle distribution stable (<i>Woody</i>), ces problèmes ont été
corrigés dans la version&nbsp;20010821-3.1</p>

<p>Pour la distribution instable (<i>Sid</i>), ces problèmes seront bientôt corrigés.</p>

<p>Nous vous recommandons de mettre à jour votre paquet f2c.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-661.data"
# $Id: dsa-661.wml,v 1.1 2005/01/27 13:43:09 joey Exp $