Bonjour, Voici la traduction de la pluie d'annonces de sécurité d'aujourd'hui. Merci d'avance pour vos relectures. -- Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Éventuelle exécution de code</define-tag> <define-tag moreinfo> <p>« infamous42md » a rapporté que proftpd souffrait de deux vulnérabilités sur le format des chaînes de caractères. La première permettait à un utilisateur capable de créer un répertoire de déclencher l'erreur de format des chaînes de caractères si le mesage d'extinction de proftpd comportait les variables « %C », « %R », ou « %U ». Dans la deuxième, l'erreur était déclenchée si mod_sql était utilisé pour récupérer des messages depuis une base de données et si des chaînes de formatage ont été insérées dans la base de données par un utilisateur autorisé.</p> <p>L'ancienne distribution stable (<i>Woody</i>) n'est pas touchée par cette vulnérabilité.</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ce problème a été corrigé dans la version 1.2.10-15sarge1.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 1.2.10-20.</p> <p>Nous vous recommandons de mettre à jour votre paquet proftpd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-795.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Exécution distante de commandes</define-tag> <define-tag moreinfo> <p>Kevin Finisterre a rapporté qu'affix, un paquet utilisé pour gérer les sessions Bluetooth sous Linux, utilisait l'appel popen d'une manière non sécurisée. Un attaquant distant pouvait exploiter cette vulnérabilité pour exécuter des commandes arbitraires sur un système vulnérable.</p> <p>L'ancienne distribution stable (<i>Woody</i>) ne contient pas le paquet affix.</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ce problème a été corrigé dans la version 2.1.1-3.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 2.1.2-3.</p> <p>Nous vous recommandons de mettre à jour votre paquet affix.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-796.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p>zsync, un programme de transfert de fichiers, inclue un copie locale modifiée de la bibliothèque zlib, et était ainsi vulnérable aux bogues dernièrement corrigés dans le paquet zlib.</p> <p>L'ancienne distribution stable (<i>Woody</i>) ne contient pas le paquet zsync</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ce problème a été corrigé dans la version 0.3.3-1.sarge.1.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 0.4.0-2.</p> <p>Nous vous recommandons de mettre à jour votre paquet zsync.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-797.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans phpgroupware, un système
de travail collaboratif par le web et écrit en PHP. Le projet « Common
Vulnerabilities and Exposures » a identifié les problèmes
suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2498";>CAN-2005-2498</a>
<p>Stefan Esser a découvert une autre vulnérabilité dans les bibliothèques
XML-RPC, qui permettait l'injection de code PHP arbitraire à l'intérieur
d'expressions eval(). Le composant XMLRPC a été désactivé.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2600";>CAN-2005-2600</a>
<p>Alexander Heidenreich a découvert un problème de script sur les éléments
dynamiques (<i>cross-site scripting</i>) dans la vue arborescente de
« FUD Forum Bulletin Board Software », qui est aussi présent dans
phpgroupware.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2761";>CAN-2005-2761</a>
<p>Une correction générale contre les scripts sur les éléments dynamiques
(<i>cross-site scripting</i>) a été également inclue et protège d'éventuels
scripts malveillants embarqués dans les fichiers CSS et xmlns des
applications et modules.</p>
</ul>
<p>Cette mise à jour contient également une correction du script de maintenance
postinst qui a été approuvé pour la prochaine mise à jour de la distribution
stable.</p>
<p>L'ancienne distribution stable (<i>Woody</i>) n'est pas touchée par ces
problèmes.</p>
<p>Pour l'actuelle distribution stable (<i>Sarge</i>), ces problèmes ont été
corrigés dans la version 0.9.16.005-3.sarge2.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 0.9.16.008.</p>
<p>Nous vous recommandons de mettre à jour vos paquets phpgroupware.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-798.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Exécution distante de code</define-tag> <define-tag moreinfo> <p>Un bogue trivial à exploiter a été découvert dans webcalendar, et permettait à un attaquant d'exécuter du code arbitraire avec les droits du démon HTTP d'un système hébergeant une version vulnérable.</p> <p>L'ancienne distribution stable (<i>Woody</i>) ne contient pas le paquet webcalendar.</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ce problème a été corrigé dans la version 0.9.45-4sarge2.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème sera bientôt corrigé.</p> <p>Nous vous recommandons de mettre à jour votre paquet webcalendar immédiatement.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-799.data"
#use wml::debian::translation-check translation="1.3" maintainer="Simon Paillard" <define-tag description>Dépassement d'entier</define-tag> <define-tag moreinfo> <p>Un dépassement d'entier ultérieur à un dépassement de tampon a été détecté dans PCRE, la bibliothèque « Perl Compatible Regular Expressions », qui permettait à un attaquant d'exécuter du code arbitraire.</p> <p>Puisque plusieurs paquets sont liés dynamiquement à cette bibliothèque, nous vous conseillons de redémarrer les services ou programmes correpondants. La commande ``apt-cache showpkg libpcre3'' liste les paquets correspondants dans la section « Reverse Depends: ».</p> <p>Pour l'ancienne distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 3.4-1.1woody1.</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ce problème a été corrigé dans la version 4.5-1.2sarge1.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 6.3-1.</p> <p>Nous vous recommandons de mettre à jour voter paquet libpcre3.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-800.data"
Attachment:
signature.asc
Description: This is a digitally signed message part