La version anglaise de la dsa-654 a très légèrement changé. Sinon, personne n'a rien signalé. -- Thomas Huriaux
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Plusieurs failles de sécurité</define-tag>
<define-tag moreinfo>
<p>Erik Sjölund a découvert plusieurs problèmes de sécurité dans
<i>enscript</i>, un programme pour convertir un texte ASCII en Postscript
et d'autres formats. Le projet <i>Common Vulnerabilities and Exposures</i>
identifie les failles de sécurité suivantes :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1184";>\
CAN-2004-1184</a>
<p>Une entrée non vérifiée peut permettre l'exécution de n'importe quelle
commande via la fonctionnalité de communication par EPSF. Ceci a été désactivé
et aussi dans la version originale.
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1185";>\
CAN-2004-1185</a></p>
<p>Dû à un manque de vérifications sur les noms de fichiers, il est
possible que un nom de fichier spécialement conçu puisse exécuter n'importe
quelle commande.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1186";>\
CAN-2004-1186</a>
<p>Plusieurs dépassements de tampon peut planter le programme.</p>
</ul>
<p>Normalement, enscript est utilisé seulement en local, mais étant donné
qu'il est aussi exécuté au sein de viewcvs, certains problèmes ci-dessus
peuvent facilement être exploités à distance.</p>
<p>Pour l'actuelle distribution stable (<i>Woody</i>), ces problèmes ont été
corrigés dans la version 1.6.3-1.3.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 1.6.4-6.</p>
<p>Nous vous recommandons de mettre à jour votre paquet enscript.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-654.data"
Attachment:
signature.asc
Description: Digital signature