Le samedi 03 septembre 2005 à 17:53 +0200, Julien Cristau a écrit : > [désolé si ce message arrive un peu tard, je n'ai de connexion qu'au > boulot, donc pas le week end] > > On Fri, Sep 2, 2005 at 17:54:25 +0200, Simon Paillard wrote: > > > Bonjour, > > > > Voici la traduction de la pluie d'annonces de sécurité d'aujourd'hui. > > > Salut, > > une relecture, et une remarque: > le « format des chaînes de caractères », ça me semble bizarre. Tu > remplaces ça par « chaîne de formatage » à un endroit, je sais pas si > c'est français mais ça me semble correspondre mieux (je n'ai pas > touché à ça dans les diff joints). Cela dit cette traduction a l'air > d'apparaître un peu partout dans french/security, donc si c'est la > traduction canonique je suis prêt à m'incliner :) J'utilise « chaîne de formatage » pour désigner le message constitué de variables dans proftpd, je distingue donc du format des chaînes .. Quant à la traduction en généal de « format string (vulnerability) », en fait je pencherais plus pour « formatage des chaînes de caractères ». Cependant je pense que la traduction « format des chaînes de caractères » utilisée dans toutes les DSA reste à mon avis assez compréhensible pour que l'on ait pas à corriger toutes les DSA pour cela. Merci Julien pour toutes ces relectures, je les ai intégrées. -- Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard" <define-tag description>Éventuelle exécution de code</define-tag> <define-tag moreinfo> <p>« infamous42md » a signalé que proftpd souffrait de deux vulnérabilités sur le format des chaînes de caractères. La première permettait à un utilisateur capable de créer un répertoire de déclencher l'erreur de format des chaînes de caractères si le message d'extinction de proftpd comportait les variables « %C », « %R » ou « %U ». Dans la deuxième, l'erreur était déclenchée si mod_sql était utilisé pour récupérer des messages depuis une base de données et si des chaînes de formatage ont été insérées dans la base de données par un utilisateur autorisé.</p> <p>L'ancienne distribution stable (<i>Woody</i>) n'est pas touchée par cette vulnérabilité.</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ce problème a été corrigé dans la version 1.2.10-15sarge1. Une erreur dans les paquets initialement préparés pour i386 a été corrigée dans la version 1.2.10-15sarge1.0.1 des paquets pour i386</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 1.2.10-20.</p> <p>Nous vous recommandons de mettre à jour votre paquet proftpd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-795.data" # $Id$
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Exécution distante de commandes</define-tag> <define-tag moreinfo> <p>Kevin Finisterre a signalé qu'affix, un paquet utilisé pour gérer les sessions Bluetooth sous Linux, utilisait la fonction popen d'une manière non sécurisée. Un attaquant distant pouvait exploiter cette vulnérabilité pour exécuter des commandes arbitraires sur un système vulnérable.</p> <p>L'ancienne distribution stable (<i>Woody</i>) ne contient pas le paquet affix.</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ce problème a été corrigé dans la version 2.1.1-3.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 2.1.2-3.</p> <p>Nous vous recommandons de mettre à jour votre paquet affix.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-796.data" # $Id$
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p>zsync, un programme de transfert de fichiers, inclut une copie locale modifiée de la bibliothèque zlib, et était ainsi vulnérable aux bogues dernièrement corrigés dans le paquet zlib.</p> <p>L'ancienne distribution stable (<i>Woody</i>) ne contient pas le paquet zsync.</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ce problème a été corrigé dans la version 0.3.3-1.sarge.1.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 0.4.0-2.</p> <p>Nous vous recommandons de mettre à jour votre paquet zsync.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-797.data" # $Id$
#use wml::debian::translation-check translation="1.3" maintainer="Simon Paillard" <define-tag description>Dépassement d'entier</define-tag> <define-tag moreinfo> <p>Un dépassement d'entier pouvant entraîner un dépassement de tampon a été détecté dans PCRE, la bibliothèque « Perl Compatible Regular Expressions », qui permettait à un attaquant d'exécuter du code arbitraire.</p> <p>Puisque plusieurs paquets sont liés dynamiquement à cette bibliothèque, nous vous conseillons de redémarrer les services ou programmes correspondants. La commande ``apt-cache showpkg libpcre3'' liste les paquets correspondants dans la section « Reverse Depends: ».</p> <p>Pour l'ancienne distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 3.4-1.1woody1.</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ce problème a été corrigé dans la version 4.5-1.2sarge1.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 6.3-1.</p> <p>Nous vous recommandons de mettre à jour voter paquet libpcre3.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-800.data" # $Id$
Attachment:
signature.asc
Description: This is a digitally signed message part