Le vendredi 21 janvier 2005 à 15:58 +0100, Thomas Huriaux a écrit : > Une relecture des dsa 446 et 447. Merci pour ta relecture Thomas. -- Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.4" maintainer="DFS Task Force" <define-tag description>Création de fichier non sécurisée</define-tag> <define-tag moreinfo> <p>Ulf Härnhammar du projet d'audit de sécurité de Debian a découvert une vulnérabilité dans <i>synaesthesia</i>, un programme de représentation visuelle du son. synaesthesia créait son fichier de configuration alors qu'il possédait les privilèges du superutilisateur, permettant ainsi à un utilisateur local de créer des fichiers possédés par le superutilisateur et accessibles en écriture par le groupe primaire de l'utilisateur. Ce type de vulnérabilité peut généralement être facilement exploité pour exécuter n'importe quel code avec les privilèges du superutilisateur par divers moyens.</p> <p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a été corrigé dans la version 2.1-2.1woody1.</p> <p>La distribution instable (<i>Sid</i>) n'est pas affectée par ce problème car le bit setuid de synaesthesia n'est plus positionné.</p> <p>Nous vous recommandons de mettre à jour votre paquet synaesthesia.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-446.data"
#use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force" <define-tag description>Bogue de format</define-tag> <define-tag moreinfo> <p>Ulf Härnhammar du projet d'audit de sécurité de Debian a découvert un bogue de format dans <i>hsftp</i>. Cette vulnérabilité pourrait être exploitée par un attaquant à même de créer des fichiers sur un serveur distant avec des noms soigneusement choisis, auquel un utilisateur se connecterait en utilisant hsftp. Lorsque l'utilisateur demanderait la liste des fichiers d'un répertoire, certains octets dans la mémoire pourraient être écrasés, permettant potentiellement l'exécution de n'importe quel code avec les privilèges de l'utilisateur invoquant hsftp.</p> <p>Veuillez noter que si le bit setuid de hsftp est positionné, les privilèges du superutilisateur ne sont utilisés qu'afin de verrouiller de la mémoire, et sont abandonnés ensuite.</p> <p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a été corrigé dans la version 1.11-1woody1.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour votre paquet hsftp.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-447.data"
Attachment:
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=