[RFR] webwml://security/2006/dsa-{1058,1059,1060,1061,1062,1063,1064,1065,1066}.wml
Bonjour,
Voici un lot d'annonces de sécurité à relire.
Merci d'avance !
--
Simon Paillard
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Mauvaise vérification des entrées</define-tag>
<define-tag moreinfo>
<p>Hendrik Weimer a découvert que des requêtes web spécialement conçues
permettaient de faire exécuter des commandes arbitraires par awstats, un
puissant et complet analyseur de journaux de serveur web.</p>
<p>L'ancienne distribution stable (<em>Woody</em>) n'est pas touchée par ce
problème.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 6.4-1sarge2.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version 6.5-2.</p>
<p>Nous vous recommandons de mettre à jour votre paquet awstats.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1058.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Konstantin Gavrilenko a découvert plusieurs vulnérabilités dans quagga, le
démon de routage BGP/OSPF/RIP. Le projet « Common Vulnerabilities and
Exposures » a identifié les problèmes suivants </p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2223";>CVE-2006-2223</a>
<p>Des attaquants distants pouvaient obtenir des informations sensibles à
l'aide de paquets REQUEST RIPv1, même si quagga était configuré pour
utiliser une authentification MD5.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2224";>CVE-2006-2224</a>
<p>Des attaquants distants pouvaient injecter des routes arbitraires à
l'aide de paquets RESPONSE RIPv1, même si quagga était configuré pour
utiliser une authentification MD5.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2276";>CVE-2006-2276</a>
<p>Fredrik Widell a découvert que les utilisateurs locaux pouvaient
provoquer un déni de service en entrant une certaine commande <kbd>sh ip
bgp</kbd> dans l'interface telnet.</p></li>
</ul>
<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas le paquet
quagga.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigé dans la version 0.98.3-7.2.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 0.99.4-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet quagga.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1059.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>Jan Rekorajski a découvert que le patch de noyau pour la gestion de serveurs
privés virtuels ne limitait pas les droits de contexte au superutilisateur du
serveur virtuel, ce qui permettait à des utilisateurs du serveur virtuel
d'effectuer des opérations spécifiques au serveur virtuel.</p>
<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas le paquet
kernel-patch-vserver.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 1.9.5.6.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version 2.0.1-4.</p>
<p>Nous vous recommandons de mettre à jour votre paquet kernel-patch-vserver et
de reconstruire votre noyau immédiatement.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1060.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Mauvaise vérification des entrées</define-tag>
<define-tag moreinfo>
<p>On a découvert que popfile, un filtre bayésien de courriels, pouvait être
interrompu en traitant des courriels contenant des groupes de caractères mal
formés, constituant un déni de service.</p>
<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas le paquet
popfile.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 0.22.2-2sarge1.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version 0.22.4-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet popfile.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1061.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Création de fichier non sécurisée</define-tag>
<define-tag moreinfo>
<p>Sven Dreyer a découvert que KPhone, un client de voix sur IP pour KDE,
créait un fichier de configuration lisible par tous, divulgant des informations
sensibles comme les mots de passe SIP.</p>
<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas le paquet
kphone.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 4.1.0-2sarge1.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la
version 4.2-6.</p>
<p>Nous vous recommandons de mettre à jour votre paquet kphone. Si les
permissions de votre kphonerc sont trop laxistes, vous devrez les modifiez
vous-même.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1062.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Mauvaise vérification des entrées</define-tag>
<define-tag moreinfo>
<p>On a découvert que la fonction de chargment d'avatar du forum FUD, un
composant de phpgroupware, un système de travail collaboratif par le web écrit
en PHP, ne vérifiait pas correctement les fichiers chargéss sur le site, ce qui
pouvait permettre l'exécution de des scripts web arbitraires.</p>
<p>Pour l'ancienne distribution stable (<em>Woody</em>), ce problème a été
corrigé dans la version 0.9.14-0.RC3.2.woody6.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 0.9.16.005-3.sarge5.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version 0.9.16.009-1.</p>
<p>Nous vous recommandons de mettre à jour voss paquets phpgroupware.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1063.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Dépassements de tampon</define-tag>
<define-tag moreinfo>
<p>Jason Duell a découvert que cscope, un outil de parcours de code source, ne
vérifiait pas la longueur des noms de fichiers apparaissant dans les directives
« include », ce qui pouvait peut-être permettre l'exécution de code
arbitraire en utilisant des noms de fichiers spécialement conçus.</p>
<p>Pour l'ancienne distribution stable (<em>Woody</em>), ce problème a été
corrigé dans la version 15.3-1woody3.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 15.5-1.1sarge1.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème sera bientôt
corrigé.</p>
<p>Nous vous recommandons de mettre à jour votre paquet cscope.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1064.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Mauvaise vérification des entrées</define-tag>
<define-tag moreinfo>
<p>Matteo Rosi et Leonardo Maccari ont découvert que hostapd, un démon
d'authentification pour les réseaux WiFi, n'effectuaient pas des vérifications
suffisantes des limites sur une variable de longueur de clé, ce qui pouvait
être exploité pour planter le service.</p>
<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas le paquet
hostapd.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 0.3.7-2sarge1.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version 0.5-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet hostapd.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1065.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Mauvaise vérification des entrées</define-tag>
<define-tag moreinfo>
<p>On a découvert que phpbb2, un logiciel de forum par le web, ne vérifiait pas
correcement les valeurs du paramètre « Font Colour 3 », ce qui
pouvait permettre l'exécution de code injecté par des administrateurs du
forum.</p>
<p>L'ancienne distribution stable (<em>Woody</em>) ne conetient pas le paquet
phpbb2.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 2.0.13+1-6sarge3.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème sera bientôt
corrigé.</p>
<p>Nous vous recommandons de mettre à jour votre paquet phpbb2.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1066.data"
Reply to:
- Follow-Ups:
- Re: [RFR] webwml://security/2006/dsa-{1058,1059,1060,1061,1062,1063,1064,1065,1066}.wml
- From: Cyril Brulebois <cyril.brulebois@enst-bretagne.fr>
- Re: [RFR] webwml://security/2006/dsa-{1058,1059,1060,1061,1062,1063,1064,1065,1066}.wml
- From: Olivier Trichet <nive@nivalis.org>
- [DONE] webwml://security/2006/dsa-{1058,1059,1060,1061,1062,1063,1064,1065,1066}.wml
- From: Simon Paillard <simon.paillard@resel.enst-bretagne.fr>