[RFR] webwml://security/2006/dsa-{972,973,974,975,976,977}.wml
Bonsoir,
La dernière petite floppée de DSA.
- Suite au pb de xpdf, pas mal de c/c avec les précédentes DSA, la 940
par exemple pour gpdf.
- Je n'ai pas traduit :
« libast (<em>the library of assorted spiffy things</em>), »
étant donné que c'est un acronyme et que je me vois mal écrire « une
bibliothèque d'assortiment de trucs épatants »
Merci d'avance pour vos relectures.
--
Simon Paillard
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Dépassements de tampon</define-tag>
<define-tag moreinfo>
<p>Des chercheurs de SuSE ont découvert des dépassements de pile dans xpdf, un
visualisateur de fichiers PDF, qui étaient aussi présents dans
pdfkit.framework, la bibliothèque GNUstep de rendu PDF. Ces dépassements
pouvaient mener à un déni de service en plantant l'application ou
éventuellement à l'exécution de code arbitraire.</p>
<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas
pdfkit.framework.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 0.8-2sarge2.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 0.8-4 lors du changement pour poppler.</p>
<p>Nous vous recommandons de mettre à jour votre paquet pdfkit.framework.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-972.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans otrs (<em>the Open Ticket
Request System</em>), un système libre de suivi de tickets, qui pouvaient être
exploitées à distance. Le projet « Common Vulnerabilities and
Exposures » a identifié les problèmes suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3893";>CVE-2005-3893</a>
<p>Plusieurs vulnérabilités d'injection SQL permettaient à des attaquants
distants d'exécuter des commandes SQL arbitraires et de contourner
l'authentification.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3894";>CVE-2005-3894</a>
<p>Plusieurs vulnérabilités de scripts intersites permettaient à des
utilisateurs authentifiés distants d'injecter des scripts web ou HTML
arbitraires.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3895";>CVE-2005-3895</a>
<p>Les pièces jointes de type text/html étaient rendues comme du HTML au
moment où le modérateur voulait télécharger la pièce jointe, ce qui
permettait à des attaquants distants d'exécuter des scripts web ou HTML
arbitraires.</p></li>
</ul>
<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas OTRS.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 1.3.2p01-6.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.0.4p01-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets otrs.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-973.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Dépassements de tampon</define-tag>
<define-tag moreinfo>
<p>Des chercheurs de SuSE ont découvert des dépassements de pile dans xpdf, un
visualisateur de fichiers PDF, qui étaient aussi présents dans gpdf, le
visualiseur PDF de GNOME. Ces dépassements pouvaient mener à un déni de service
en plantant l'application ou éventuellement à l'exécution de code
arbitraire.</p>
<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas gpdf.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 2.8.2-1.2sarge3.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes seront bientôt
corrigés.</p>
<p>Nous vous recommandons de mettre à jour votre paquet gpdf.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-974.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Marcus Meissner a découvert qu'un attaquant pouvait provoquer un dépassement
de tampon dans le code de gestion du chemin complet en créant des liens
symboliques ou en utilisant d'une mauvaise manière des liens symboliques déjà
existants. Ce dépassement pouvait permettre l'exécution de code arbitraire.</p>
<p>Cette vulnérabilité n'est pas présente dans le serveur NFS du noyau.</p>
<p>Cette mise à jour comporte un correctif destiné à la gestion des attributs
des liens symboliques. Ce correctif n'a pas de conséquences sur la sécurité,
mais il était déjà prêt pour la prochaine publication stable au moment où ce
bulletin de sécurité était en préparation. Il a ainsi été décidé de l'inclure
de manière anticipée.</p>
<p>Pour l'ancienne distribution stable (<em>Woody</em>), ces problèmes ont été
corrigés dans la version 2.2beta47-12woody1.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 2.2beta47-20sarge2.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.2beta47-22.</p>
<p>Nous vous recommandons de mettre à jour votre paquet nfs-user-server.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-975.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Johnny Mast a découvert un dépassement de tampon dans libast (<em>the
library of assorted spiffy things</em>), qui pouvait permettre l'exécution de
code arbitraire. Cette bibliothèque est utilisée par eterm qui est installé en
modes <em>setgid</em> et <em>setuid</em>, ouvrant la porte à une vulnérabilité
permettant la modification du fichier utmp.</p>
<p>Pour l'ancienne distribution stable (<em>Woody</em>), ces problèmes ont été
corrigés dans la version 0.4-3woody2.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 0.6-0pre2003010606sarge1.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes seront bientôt
corrigés.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libast.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-976.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans heimdal, une implémentation
libre de Kerberos 5. Le projet « Common Vulnerabilities and
Exposures » a identifié les problèmes suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0582";>CVE-2006-0582</a>
<p>L'usurpation de droits dans le serveur rsh permettait à un attaquant
authentifié d'écraser des fichiers arbitraires et d'en devenir le
propriétaire.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0677";>CVE-2006-0677</a>
<p>Un attaquant distant pouvait forcer le serveur telnet à planter avant
que l'utilisateur soit connecté, ce qui provoquait l'extinction de telnetd
par inetd en cas de duplication de processus (« fork ») trop
rapide.</p></li>
</ul>
<p>L'ancienne distribution stable (<em>Woody</em>) n'expose pas les serveurs
rsh et telnet à ces problèmes.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 0.6.3-10sarge2.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes seront bientôt
corrigés.</p>
<p>Nous vous recommandons de mettre à jour vos paquets heimdal.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-977.data"
Reply to: