Merci d'avance pour vos relectures. -- Thomas Huriaux
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" <define-tag description>Absence de vérification des entrées</define-tag> <define-tag moreinfo> <p>Evgeny Demidov a découvert un dépassement de tampon probable dans le composant Kerberos 4 de heimdal, une implémentation libre de Kerberos 5. Le problème est présent dans kadmind, un serveur d'accès pour l'administration de la base de données de Kerberos. Ce problème pourrait être exploité pour forcer un démon à lire une quantité négative de données, ce qui pourrait conduire à un comportement inattendu.</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 0.4e-7.woody.9.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 0.6.2-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet heimdal et ceux qui y sont liés.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-504.data" # $Id: dsa-504.wml,v 1.1 2004/05/18 09:53:23 joey Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" <define-tag description>Dépassement de pile</define-tag> <define-tag moreinfo> <p>Stefan Esser a découvert un dépassement de pile dans le serveur CVS, qui est utilisé pour le système de versions concurentes. Des lignes d'entrée malformées, combinées avec les marques <i>Is-modified</i> et <i>Unchanged</i> peuvent être utilisées pour provoquer un dépassement de tampon au niveau de la mémoire allouée avec la fonction malloc(). L'exploitation a été prouvée.</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 1.11.1p1debian-9woody4.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 1.12.5-6.</p> <p>Nous vous recommandons de mettre à jour votre paquet cvs immédiatement.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-505.data" # $Id: dsa-505.wml,v 1.2 2004/12/29 21:10:29 jseidel Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" <define-tag description>Dépassement de tampon</define-tag> <define-tag moreinfo> <p>Stefan Esser a découvert un problème dans neon, une bibliothèque pour client HTTP et WebDAV. Les entrées de l'utilisateur sont copiées dans des variables insuffisamment grandes pour tous les cas. Cela peut conduire à un dépassement de tampon au niveau d'une variable de pile statique.</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 0.19.3-2woody5.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 0.23.9.dfsg-2 et dans neon_0.24.6.dfsg-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libneon*.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-506.data" # $Id: dsa-506.wml,v 1.1 2004/05/19 09:22:39 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" <define-tag description>Format des chaînes de caractères</define-tag> <define-tag moreinfo> <p>jaguar@felinemenace.org a découvert une faille de format de chaînes de caractères dans log2mail, pour laquelle un utilisateur capable d'enregistrer un message spécialement créé dans un fichier de log géré par log2mail (par exemple, <i>via</i> syslog) pouvait provoquer l'exécution de code arbitraire, avec les privilèges du processus log2mail. Par défaut, ce processus est lancé en tant qu'utilisateur « log2mail », qui est membre du groupe « adm » (qui a accès en lecture aux fichiers de log du système).</p> <p><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0450";>CAN-2004-0450</a> : faille de sécurité de chaînes de caractères de log2mail <i>via</i> syslog(3) dans printlog()</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 0.2.5.2.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème sera bientôt corrigé.</p> <p>Nous vous recommandons de mettre à jour votre paquet log2mail.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-513.data" # $Id: dsa-513.wml,v 1.1 2004/06/03 19:08:10 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" <define-tag description>Échec d'une fonction et purge des TLB</define-tag> <define-tag moreinfo> <p>Paul Starzetz et Wojciech Purczynski de isec.pl ont découvert une faille de sécurité critique dans le code de gestion de la mémoire de Linux, au sein de l'appel système mremap(2). À cause d'une purge prématurée des TLB (<i>Translation Lookaside Buffers</i>, un cache d'adresse mémoire), un attaquant peut déclencher une exploitation locale du superutilisateur.</p> <p>Cependant, les vecteurs d'attaque pour les noyaux 2.4.x et 2.2.x sont différents en fonction des versions. Nous avons d'abord cru que la faille de sécurité dans le noyau 2.4.x n'existait pas dans les 2.2.x, et c'est toujours vrai. Cependant, il est apparu qu'une deuxième (sorte de) vulnérabilité est exploitable uniquement dans les noyaux 2.2.x, avec bien sûr une exploitation différente.</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ces problèmes ont été corrigés dans la version 9woody1 des images du noyau Linux 2.2 pour l'architecture sparc et dans la version 2.2.20-5woody3 des sources de Linux 2.2.20.</p> <p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés dans la version 9.1 des images du noyau Linux 2.2 pour l'architecture sparc.</p> <p>Ce problème a déjà été corrigé pour les autres architectures.</p> <p>Nous vous recommandons de mettre à jour votre paquet du noyau Linux.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-514.data" # $Id: dsa-514.wml,v 1.1 2004/06/04 18:13:44 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" <define-tag description>Déréférencement d'un pointeur nul</define-tag> <define-tag moreinfo> <p>Julian Reschke a signalé un problème dans mod_dav de Apache 2 en rapport avec le déréférencement d'un pointeur nul. En le lançant dans un modèle avec indexation multiple, spécialement avec Apache 2, une faute de segmentation peut stopper la totalité du processus, provoquant ainsi un déni de service pour le serveur entier.</p> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 1.0.3-3.1.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 1.0.3-10 de libapache-mod-dav et dans la version 2.0.51-1 de Apache 2.</p> <p>Nous vous recommandons de mettre à jour vos paquets mod_dav.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-558.data" # $Id: dsa-558.wml,v 1.1 2004/10/06 07:33:36 joey Exp $
Attachment:
signature.asc
Description: Digital signature