Bonjour et bon dimanche, Voici les dernières annonces de sécurité traduites. 866 et 868 sont presque identiques et concernent Mozilla. Merci d'avance pour vos relectures. -- Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Mozilla et des programmes dérivés. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :</p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2871">CAN-2005-2871</a> <p>Tom Ferris a découvert un bogue dans la gestion des noms d'hôtes IDN dans Mozilla, qui permettait à des attaquants distants de provoquer un déni de service et peut-être d'exécuter du code arbitraire en utilisant un nom d'hôte avec tirets.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2701">CAN-2005-2701</a> <p>Un dépassement de tampon permettait à des attaquants distants d'exécuter du code arbitraire en utilisant une fichier d'image XBM se terminant par un grand nombre d'espaces au lieu de la marque de fin attendue.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2702">CAN-2005-2702</a> <p>Mats Palmgren a découvert un dépassement de tampon dans le traitement des chaînes Unicode, qui permettait d'exécuter du code arbitraire en utilisant une séquence Unicode spécialement créée.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2703">CAN-2005-2703</a> <p>Des attaquants distants pouvaient usurper les entêtes HTTP de requêtes XML HTTP à travers XMLHttpRequest et peut-être utiliser le client pour exploiter les vulnérabilités de serveurs ou mandataires web (« proxies »).</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2704">CAN-2005-2704</a> <p>Des attaquants distants pouvaient usurper des objets DOM en utilisant un contrôle XBL implémentant une interface interne XPCOM.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2705">CAN-2005-2705</a> <p>Georgi Guninski a découvert un dépassement d'entier dans le moteur JavaScript qui pouvaient permettre l'exécution de code arbitraire par des attaquants distants.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2706">CAN-2005-2706</a> <p>Des attaquants distants pouvaient exécuter du code Javascript avec les droits chrome à travers une page « about: » comme « about:mozilla ».</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2707">CAN-2005-2707</a> <p>Des attaquants distants pouvaient utiliser des fenêtres sans les composants de l'interface utilisateur tels que la barre d'adresse ou d'état, qui pouvaient être utilisées pour mener des attaques par usurpation ou « phishing ».</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2968">CAN-2005-2968</a> <p>Peter Zelezny a découvert que les métacaractères d'invite de commande ne sont pas correctement échappés lorsqu'ils sont transmis à un script shell, ce qui permettait l'exécution de commandes arbitraires, par exemple si une URL malveillante était automatiquement copiée depuis un autre programme utilisant Mozilla comme navigateur par défaut.</p></li> </ul> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 1.7.8-1sarge3.</p> <p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 1.7.12-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet mozilla.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-866.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Fichier temporaire non sécurisé</define-tag> <define-tag moreinfo> <p>Eduard Bloch a découvert qu'un fichier de règles de module-assistant, un outil qui facilite la création d'un paquet de module, créait un fichier temporaire d'une manière non sécurisée. Cet outil est également couramment exécuté à travers d'autres paquets.</p> <p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas le paquet module-assistant.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.9sarge1.</p> <p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.9.10.</p> <p>Nous vous recommandons de mettre à jour votre paquet module-assistant.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-867.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Mozilla et ses programmes dérivés. Certains des problèmes ci-dessous ne concernent pas exactement à Mozilla Thunderbird, même si le code est présent. Afin de garder le code synchronisé avec l'amont, le code a néanmoins été modifié. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :</p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2871">CAN-2005-2871</a> <p>Tom Ferris a découvert un bogue dans la gestion des noms d'hôtes IDN dans Mozilla, qui permettait à des attaquants distants de provoquer un déni de service et peut-être d'exécuter du code arbitraire en utilisant un nom d'hôte avec tirets.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2701">CAN-2005-2701</a> <p>Un dépassement de tampon permettait à des attaquants distants d'exécuter du code arbitraire en utilisant une fichier d'image XBM se terminant par un grand nombre d'espaces au lieu de la marque de fin attendue.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2702">CAN-2005-2702</a> <p>Mats Palmgren a découvert un dépassement de tampon dans le traitement des chaînes Unicode, qui permettait d'exécuter du code arbitraire en utilisant une séquence Unicode spécialement créée.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2703">CAN-2005-2703</a> <p>Des attaquants distants pouvaient usurper les entêtes HTTP de requêtes XML HTTP à travers XMLHttpRequest et peut-être utiliser le client pour exploiter les vulnérabilités de serveurs ou mandataires web (« proxies »).</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2704">CAN-2005-2704</a> <p>Des attaquants distants pouvaient usurper des objets DOM en utilisant un contrôle XBL implémentant une interface interne XPCOM.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2705">CAN-2005-2705</a> <p>Georgi Guninski a découvert un dépassement d'entier dans le moteur JavaScript qui pouvaient permettre l'exécution de code arbitraire par des attaquants distants.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2706">CAN-2005-2706</a> <p>Des attaquants distants pouvaient exécuter du code Javascript avec les droits chrome à travers une page « about: » comme « about:mozilla ».</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2707">CAN-2005-2707</a> <p>Des attaquants distants pouvaient utiliser des fenêtres sans les composants de l'interface utilisateur tels que la barre d'adresse ou d'état, qui pouvaient être utilisées pour mener des attaques par usurpation ou « phishing ».</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2968">CAN-2005-2968</a> <p>Peter Zelezny a découvert que les métacaractères d'invite de commande ne sont pas correctement échappés lorsqu'ils sont transmis à un script shell, ce qui permettait l'exécution de commandes arbitraires, par exemple si une URL malveillante était automatiquement copiée depuis un autre programme utilisant Mozilla comme navigateur par défaut.</p></li> </ul> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 1.0.2-2.sarge1.0.7.</p> <p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 1.0.7-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet mozilla-thunderbird.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-868.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Mauvaise vérification des entrées</define-tag> <define-tag moreinfo> <p>Les développeurs d'eric, un environnement de développement complet pour Python, ont corrigé un bogue dans le traitement des fichiers projet, qui pouvait permettre l'exécution de code arbitraire.</p> <p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas le paquet eric.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 3.6.2-2.</p> <p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 3.7.2-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet eric.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-869.data"
Attachment:
signature.asc
Description: This is a digitally signed message part