[LCFC] webwml://security/2005/dsa-{896,897}.wml
Le mardi 15 novembre 2005 à 13:19 +0100, Simon Paillard a écrit :
> Bonjour,
>
> Voici les traductions des deux dernières annonces de sécurité, 896 et
> 897, touchant respectivement linux-ftpd-ssl et phpsysinfo.
>
> Merci d'avance pour vos relectures
J'ai intégré les relectures de Jean-Luc et Frédéric pour dsa-897 (les
mêmes que dsa-898 et dsa-899).
Mise à jour de dsa-896 par rapport à la vo.
--
Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Un dépassement de tampon a été découvert dans ftpd-ssl, un serveur FTP
simple avec gestion du chiffrage SSL, qui pouvait permettre l'exécution de code
arbitraire.</p>
<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas
linux-ftpd-ssl.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 0.17.18+0.3-3sarge1.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version 0.17.18+0.3-5.</p>
<p>Nous vous recommandons de mettre à jour votre paquet ftpd-ssl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-896.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Erreurs de programmation</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans phpsysinfo, une
application PHP fournissant des informations sur l'hôte l'hébergeant. Le projet
« Common Vulnerabilities and Exposures » a identifié les problèmes
suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0870";>CVE-2005-0870</a>
<p>Maksymilian Arciemowicz a découvert plusieurs problèmes de scripts
intersites, qui n'avaient pas tous été corrigés par la
DSA 724.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3347";>CVE-2005-3347</a>
<p>Christopher Kunz a découvert que des variables locales étaient écrasées
sans condition, mais étaient pourtant considérées fiables par la suite.
Cela pouvait permettre l'inclusion de fichiers arbitraires.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3348";>CVE-2005-3348</a>
<p>Christopher Kunz a découvert que les entrées provenant de l'utilisateur
étaient utilisées sans vérification, provoquant un problème de découpage de
la réponse HTTP (<i>HTTP Response splitting</i>).</p></li>
</ul>
<p>Pour l'ancienne distribution stable (<em>Woody</em>), ces problèmes ont été
corrigés dans la version 2.0-3woody3.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 2.3-4sarge1.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes seront bientôt
corrigés.</p>
<p>Nous vous recommandons de mettre à jour votre paquet phpsysinfo.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-897.data"
Reply to: