Bonjour et bon dimanche, Voici les dernières annonces de sécurité traduites. 866 et 868 sont presque identiques et concernent Mozilla. Merci d'avance pour vos relectures. -- Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Mozilla et des programmes
dérivés. Le projet « Common Vulnerabilities and Exposures » a
identifié les problèmes suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2871";>CAN-2005-2871</a>
<p>Tom Ferris a découvert un bogue dans la gestion des noms d'hôtes
IDN dans Mozilla, qui permettait à des attaquants distants de
provoquer un déni de service et peut-être d'exécuter du code
arbitraire en utilisant un nom d'hôte avec tirets.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2701";>CAN-2005-2701</a>
<p>Un dépassement de tampon permettait à des attaquants distants
d'exécuter du code arbitraire en utilisant une fichier d'image XBM
se terminant par un grand nombre d'espaces au lieu de la marque de
fin attendue.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2702";>CAN-2005-2702</a>
<p>Mats Palmgren a découvert un dépassement de tampon dans le
traitement des chaînes Unicode, qui permettait d'exécuter du code
arbitraire en utilisant une séquence Unicode spécialement
créée.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2703";>CAN-2005-2703</a>
<p>Des attaquants distants pouvaient usurper les entêtes HTTP de
requêtes XML HTTP à travers XMLHttpRequest et peut-être utiliser le
client pour exploiter les vulnérabilités de serveurs ou mandataires
web (« proxies »).</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2704";>CAN-2005-2704</a>
<p>Des attaquants distants pouvaient usurper des objets DOM en
utilisant un contrôle XBL implémentant une interface interne
XPCOM.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2705";>CAN-2005-2705</a>
<p>Georgi Guninski a découvert un dépassement d'entier dans le
moteur JavaScript qui pouvaient permettre l'exécution de code
arbitraire par des attaquants distants.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2706";>CAN-2005-2706</a>
<p>Des attaquants distants pouvaient exécuter du code Javascript
avec les droits chrome à travers une page « about: » comme
« about:mozilla ».</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2707";>CAN-2005-2707</a>
<p>Des attaquants distants pouvaient utiliser des fenêtres sans les
composants de l'interface utilisateur tels que la barre d'adresse ou
d'état, qui pouvaient être utilisées pour mener des attaques par usurpation
ou « phishing ».</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2968";>CAN-2005-2968</a>
<p>Peter Zelezny a découvert que les métacaractères d'invite de commande ne
sont pas correctement échappés lorsqu'ils sont transmis à un script shell,
ce qui permettait l'exécution de commandes arbitraires, par exemple si une
URL malveillante était automatiquement copiée depuis un autre programme
utilisant Mozilla comme navigateur par défaut.</p></li>
</ul>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 1.7.8-1sarge3.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.7.12-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet mozilla.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-866.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Fichier temporaire non sécurisé</define-tag> <define-tag moreinfo> <p>Eduard Bloch a découvert qu'un fichier de règles de module-assistant, un outil qui facilite la création d'un paquet de module, créait un fichier temporaire d'une manière non sécurisée. Cet outil est également couramment exécuté à travers d'autres paquets.</p> <p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas le paquet module-assistant.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.9sarge1.</p> <p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.9.10.</p> <p>Nous vous recommandons de mettre à jour votre paquet module-assistant.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-867.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Mozilla et ses programmes
dérivés. Certains des problèmes ci-dessous ne concernent pas exactement à
Mozilla Thunderbird, même si le code est présent. Afin de garder le code
synchronisé avec l'amont, le code a néanmoins été modifié. Le projet
« Common Vulnerabilities and Exposures » a identifié les problèmes
suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2871";>CAN-2005-2871</a>
<p>Tom Ferris a découvert un bogue dans la gestion des noms d'hôtes
IDN dans Mozilla, qui permettait à des attaquants distants de
provoquer un déni de service et peut-être d'exécuter du code
arbitraire en utilisant un nom d'hôte avec tirets.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2701";>CAN-2005-2701</a>
<p>Un dépassement de tampon permettait à des attaquants distants
d'exécuter du code arbitraire en utilisant une fichier d'image XBM
se terminant par un grand nombre d'espaces au lieu de la marque de
fin attendue.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2702";>CAN-2005-2702</a>
<p>Mats Palmgren a découvert un dépassement de tampon dans le
traitement des chaînes Unicode, qui permettait d'exécuter du code
arbitraire en utilisant une séquence Unicode spécialement
créée.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2703";>CAN-2005-2703</a>
<p>Des attaquants distants pouvaient usurper les entêtes HTTP de
requêtes XML HTTP à travers XMLHttpRequest et peut-être utiliser le
client pour exploiter les vulnérabilités de serveurs ou mandataires
web (« proxies »).</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2704";>CAN-2005-2704</a>
<p>Des attaquants distants pouvaient usurper des objets DOM en
utilisant un contrôle XBL implémentant une interface interne
XPCOM.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2705";>CAN-2005-2705</a>
<p>Georgi Guninski a découvert un dépassement d'entier dans le
moteur JavaScript qui pouvaient permettre l'exécution de code
arbitraire par des attaquants distants.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2706";>CAN-2005-2706</a>
<p>Des attaquants distants pouvaient exécuter du code Javascript
avec les droits chrome à travers une page « about: » comme
« about:mozilla ».</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2707";>CAN-2005-2707</a>
<p>Des attaquants distants pouvaient utiliser des fenêtres sans les
composants de l'interface utilisateur tels que la barre d'adresse ou
d'état, qui pouvaient être utilisées pour mener des attaques par usurpation
ou « phishing ».</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2968";>CAN-2005-2968</a>
<p>Peter Zelezny a découvert que les métacaractères d'invite de commande ne
sont pas correctement échappés lorsqu'ils sont transmis à un script shell,
ce qui permettait l'exécution de commandes arbitraires, par exemple si une
URL malveillante était automatiquement copiée depuis un autre programme
utilisant Mozilla comme navigateur par défaut.</p></li>
</ul>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 1.0.2-2.sarge1.0.7.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.0.7-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet mozilla-thunderbird.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-868.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Mauvaise vérification des entrées</define-tag> <define-tag moreinfo> <p>Les développeurs d'eric, un environnement de développement complet pour Python, ont corrigé un bogue dans le traitement des fichiers projet, qui pouvait permettre l'exécution de code arbitraire.</p> <p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas le paquet eric.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 3.6.2-2.</p> <p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 3.7.2-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet eric.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-869.data"
Attachment:
signature.asc
Description: This is a digitally signed message part