[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] webwml://security/2006/dsa-{1068,1071,1072,1073,1074}.wml

Bonsoir,

Voici quelques annonces de sécurité à relire.

Merci d'avance.

-- 
Simon Paillard

#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Fichier temporaire non sécurisé</define-tag>
<define-tag moreinfo>
<p>Jan Braun a découvert que le script fbgs de fbi, un visualisateur d'image
pour environnement avec framebuffer, créait un répertoire temporaire d'une
manière prévisible, ce qui le rendait vulnérable à une attaque de déni de
service par lien symbolique.</p>

<p>Pour l'ancienne distribution stable (<em>Woody</em>), ce problème a été
corrigé dans la version&nbsp;1.23woody1.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version&nbsp;2.01-1.2sarge1.</p>

<p>Pour la distribution instable (<em>Sid</em>), ce problème sera bientôt
corrigé.</p>

<p>Nous vous recommandons de mettre à jour votre paquet fbi.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1068.data"

#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découverts dans MySQL, une base de données
populaire. Le projet «&nbsp;Common Vulnerabilities and Exposures&nbsp;» a
identifié les problèmes suivants&nbsp;:</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0903";>CVE-2006-0903</a>

    <p>La gestion incorrecte de requêtes SQL comportant le caractère NULL
    permettait à des utilisateurs locaux de contourner les mécanismes de
    journalisation.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1516";>CVE-2006-1516</a>

    <p>Les identifiants d'utilisateur sans bit final à zéro permettaient à des
    attaquants distants de lire des portions de la mémoire.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1517";>CVE-2006-1517</a>

    <p>Une requête portée par un paquet de longueur incorrecte permettait à des
    utilisateurs distants d'obtenir des informations sensibles.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1518";>CVE-2006-1518</a>

    <p>Des paquets de requête spécialement conçus avec des valeurs de longueur
    invalide permettaient d'exécuter du code arbiraire.</p></li>

</ul>

<p>Le tableau suivant explique pour chaque distribution quelle version de MySQL
contient la correction&nbsp;:</p>

<div class="centerdiv"><table cellspacing=0 cellpadding=2>
  <tr>
    <th>&nbsp;</th>
    <th><em>Woody</em></th>
    <th><em>Sarge</em></th>
    <th><em>Sid</em></th>
  </tr>
  <tr>
    <td>mysql</td>
    <td>3.23.49-8.15</td>
    <td>N.D.</td>
    <td>N.D.</td>
  </tr>
  <tr>
    <td>mysql-dfsg</td>
    <td>N.D.</td>
    <td>4.0.24-10sarge2</td>
    <td>N.D.</td>
  </tr>
  <tr>
    <td>mysql-dfsg-4.1</td>
    <td>N.D.</td>
    <td>4.1.11a-4sarge3</td>
    <td>N.D.</td>
  </tr>
  <tr>
    <td>mysql-dfsg-5.0</td>
    <td>N.D.</td>
    <td>N.D.</td>
    <td>5.0.21-3</td>
  </tr>
</table></div>

<p>Nous vous recommandons de mettre à jour vos paquets mysql.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1071.data"

#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Un dépassement de tampon a été découvert dans nagios, un système de
surveillande d'hôtes, de services et du réseau. Ce dépassement pouvait être
exploité par des attaquants distants pour exécuter du code arbitraire.</p>

<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas les paquets
nagios.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version&nbsp;1.3-cvs.20050402-2.sarge.2.</p>

<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
les versions 1.4-1 et 2.3-1.</p>

<p>Nous vous recommandons de mettre à jour votre paquet nagios.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1072.data"

#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découverts dans MySQL, une base de données
populaire. Le projet «&nbsp;Common Vulnerabilities and Exposures&nbsp;» a
identifié les problèmes suivants&nbsp;:</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0903";>CVE-2006-0903</a>

    <p>La gestion incorrecte de requêtes SQL comportant le caractère NULL
    permettait à des utilisateurs locaux de contourner les mécanismes de
    journalisation.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1516";>CVE-2006-1516</a>

    <p>Les identifiants d'utilisateur sans bit final à zéro permettaient à des
    attaquants distants de lire des portions de la mémoire.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1517";>CVE-2006-1517</a>

    <p>Une requête portée par un paquet de longueur incorrecte permettait à des
    utilisateurs distants d'obtenir des informations sensibles.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1518";>CVE-2006-1518</a>

    <p>Des paquets de requête spécialement conçus avec des valeurs de longueur
    invalide permettaient d'exécuter du code arbiraire.</p></li>

</ul>

<p>Le tableau suivant explique pour chaque distribution quelle version de MySQL
contient la correction&nbsp;:</p>


<div class="centerdiv"><table cellspacing=0 cellpadding=2>
  <tr>
    <th>&nbsp;</th>
    <th><em>Woody</em></th>
    <th><em>Sarge</em></th>
    <th><em>Sid</em></th>
  </tr>
  <tr>
    <td>mysql</td>
    <td>3.23.49-8.15</td>
    <td>N.D.</td>
    <td>N.D.</td>
  </tr>
  <tr>
    <td>mysql-dfsg</td>
    <td>N.D.</td>
    <td>4.0.24-10sarge2</td>
    <td>N.D.</td>
  </tr>
  <tr>
    <td>mysql-dfsg-4.1</td>
    <td>N.D.</td>
    <td>4.1.11a-4sarge3</td>
    <td>N.D.</td>
  </tr>
  <tr>
    <td>mysql-dfsg-5.0</td>
    <td>N.D.</td>
    <td>N.D.</td>
    <td>5.0.21-3</td>
  </tr>
</table></div>

<p>Nous vous recommandons de mettre à jour vos paquets mysql.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1073.data"

#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>A. Alejandro Hernández a découvert une vulnérabilité dans mpg123, un lecteur
de fichiers audio MPEG en ligne de commande. La vérification insuffisante des
fichiers MPEG&nbsp;2.0 layer&nbsp;3 était responsable de plusieurs dépassements
de tampon.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version&nbsp;0.59r-20sarge1.</p>

<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version&nbsp;0.59r-22.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mpg123.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1074.data"
Reply to: