[RFR] webwml://security/2006/dsa-967.wml
Bonjour,
Voici la traduction de l'annonce 967 touchant elog.
--
Simon Paillard
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans elog, un journal de
bord destiné à réunir des notes. Le projet « Common Vulnerabilities and
Exposures » a identifié les pronlèmes suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4439">CVE-2005-4439</a>
<p>« GroundZero Security » a découvert qu'elog ne vérifiait pas
correctement la taille d'un tampon utilisé pour du traitement des
paramètres d'URL, ce qui aurait pu permettre l'exécution de code
arbitraire.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0347">CVE-2006-0347</a>
<p>Une vulnérabilité de traversée de répertoire dans le traitement des
séquences « ../ » des URL aurait pu provoquer la divulgation
d'informations.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0348">CVE-2006-0348</a>
<p>Le code d'écriture du fichier journal contenait une vulnérabilité de
chaîne de formatage, qui aurait pu permettre l'exécution de code
arbitraire.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0597">CVE-2006-0597</a>
<p>Des attributs de révision excessivement longs auraient pu provoquer un
plantage du à un dépassement de tampon.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0598">CVE-2006-0598</a>
<p>Le code d'écriture du fichier journal n'effectuait pas correctement les
vérifications suffisantes des limites, ce qui aurait pu permettre
l'exécution de code arbitraire.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0599">CVE-2006-0599</a>
<p>elog utilisait des messages d'erreur différents dans le cas d'un mot de
passe invalide et d'un nom d'utilisateur invalide, ce qui permettait à un
attaquant de tester les noms d'utilisateurs valides.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0600">CVE-2006-0600</a>
<p>Un attaquant pouvait être entraîné dans une boucle de redirection sans
fin en utilisant une requête « fail » d'échec, ce qui constitue
un risque de déni de service.</p></li>
</ul>
<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas de paquet
elog.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 2.5.7+r1558-4+sarge2.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.6.1+r1642-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet elog.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-967.data"
Reply to: