[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] webwml://security/2006/dsa-{1075,1076,1077,1078,1079,1080,1081,1083}.wml



Bonjour,

Un dernier lot d'annonces traduites afin d'être presque à jour (il
manque celles sur le noyau).


-- 
Simon Paillard
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>Hendrik Weimer a découvert qu'awstats pouvait exécuter des commandes
arbitraires sous l'identité du serveur web si les utilisateurs sont autorisés à
fournir leurs propres fichiers de configuration. Bien que ce bogue ait été
référencé accidentellement dans la mise à jour de sécurité DSA&nbsp;1058, il
n'était pas encore corrigé.</p>

<p>Le nouveau comportement par défaut refuse les configurations d'utilisateurs.
Cela peut être néanmoins activé avec la variable d'environnement
AWSTATS_ENABLE_CONFIG_DIR lorsque la confiance est accordée aux
utilisateurs.</p>

<p>L'ancienne distribution stable (<em>Woody</em>) ne semble pas touchée par ce
problème.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version&nbsp;6.4-1sarge3.</p>

<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version&nbsp;6.5-2.</p>

<p>Nous vous recommandons de mettre à jour votre paquet awstats.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1075.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>Michal Zalewski a découvert que lynx, un navigateur web en mode texte, ne
traitait pas correctement le code HTML contenant une balise TEXTAREA avec une
valeur COLS importante et une balise au nom trop long et sans marqueur de fin,
ce qui le rendait vulnérable à une attaque par déni de service.</p>

<p>Pour l'ancienne distribution stable (<em>Woody</em>), ce problème a été
corrigé dans la version&nbsp;2.8.4.1b-3.4.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version&nbsp;2.8.5-2sarge2.</p>

<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version&nbsp;2.8.5-2sarge2.</p>

<p>Nous vous recommandons de mettre à jour votre paquet lynx.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1076.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>Michal Zalewski a découvert que lynx, un navigateur web en mode texte, ne
traitait pas correctement le code HTML contenant une balise TEXTAREA avec une
valeur COLS importante et une balise au nom trop long et sans marqueur de fin,
ce qui le rendait vulnérable à une attaque par déni de service. Le même code
est présent dans lynx-ssl.</p>

<p>Pour l'ancienne distribution stable (<em>Woody</em>), ce problème a été
corrigé dans la version&nbsp;2.8.4.1b-3.3.</p>

<p>L'actuelle distribution stable (<em>Sarge</em>) ne contient plus le paquet
lynx-ssl.</p>

<p>La distribution instable (<em>Sid</em>) ne contient plus le paquet
lynx-ssl.</p>

<p>Nous vous recommandons de mettre à jour votre paquet lynx-ssl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1077.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Lecture en dehors des limites</define-tag>
<define-tag moreinfo>
<p>Andrey Kiselev a découvert un problème dans la bibliothèque TIFF qui aurait
pu permettre à un attaquant d'utiliser une image TIFF spécialement conçue avec
des valeurs Yr/Yg/Yb supérieures aux valeurs YCR/YCG/YCB, afin de provoquer un
plantage de la bibliothèque et donc de l'application qui en dépend.</p>

<p>L'ancienne distribution stable (<em>Woody</em>) n'est pas touchée par ce
problème.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version&nbsp;3.7.2-4.</p>

<p>La distribution instable (<em>Sid</em>) n'est pas touchée par ce
problème.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tiff et de redémarrer
les programmes les utilisant.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1078.data"
#use wml::debian::translation-check translation="1.3" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans MySQL, une base de données
populaire. Le projet «&nbsp;Common Vulnerabilities and Exposures&nbsp;» a
identifié les problèmes suivants&nbsp;:</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0903";>CVE-2006-0903</a>

    <p>La gestion incorrecte de requêtes SQL comportant le caractère NULL
    permettait à des utilisateurs locaux de contourner les mécanismes de
    journalisation.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1516";>CVE-2006-1516</a>

    <p>Les identifiants d'utilisateur sans bit final à zéro permettaient à des
    attaquants distants de lire des portions de la mémoire.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1517";>CVE-2006-1517</a>

    <p>Une requête portée par un paquet de longueur incorrecte permettait à des
    utilisateurs distants d'obtenir des informations sensibles.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1518";>CVE-2006-1518</a>

    <p>Des paquets de requête spécialement conçus avec des valeurs de longueur
    invalide permettaient d'exécuter du code arbiraire.</p></li>

</ul>

<p>Le tableau suivant explique pour chaque distribution quelle version de MySQL
contient la correction&nbsp;:</p>


<div class="centerdiv"><table cellspacing=0 cellpadding=2>
  <tr>
    <th>&nbsp;</th>
    <th><em>Woody</em></th>
    <th><em>Sarge</em></th>
    <th><em>Sid</em></th>
  </tr>
  <tr>
    <td>mysql</td>
    <td>3.23.49-8.15</td>
    <td>N.D.</td>
    <td>N.D.</td>
  </tr>
  <tr>
    <td>mysql-dfsg</td>
    <td>N.D.</td>
    <td>4.0.24-10sarge2</td>
    <td>N.D.</td>
  </tr>
  <tr>
    <td>mysql-dfsg-4.1</td>
    <td>N.D.</td>
    <td>4.1.11a-4sarge3</td>
    <td>N.D.</td>
  </tr>
  <tr>
    <td>mysql-dfsg-5.0</td>
    <td>N.D.</td>
    <td>N.D.</td>
    <td>5.0.21-3</td>
  </tr>
</table></div>

<p>Nous vous recommandons de mettre à jour vos paquets mysql.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1079.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>Un problème a été découvert dans le composant IMAP de Dovecot, un serveur
sécurisé de courriel, gérant les boîtes mbox et maildir. La traversée de
répertoires par des utilisateurs authentifiés pouvait mener à la divulguation
d'informations sensibles.</p>

<p>L'ancienne distribution stable (<em>Woody</em>) n'est pas touchée par ce
problème.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version&nbsp;0.99.14-1sarge0.</p>

<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version&nbsp;1.0beta8-1.</p>

<p>Nous vous recommandons de mettre à jour votre paquet dovecot-imapd.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1080.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Luigi Auriemma a découvert un dépassement de tampon dans le traitement des
fichiers ASF dans libextractor, une bibliothèque d'extraction de métadonnées
des fichiers, qui pouvait permettre l'exécution de code arbitraire.</p>

<p>L'ancienne distribution stable (<em>Woody</em>) n'est pas touchée par ce
problème.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version&nbsp;0.4.2-2sarge5.</p>

<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version&nbsp;0.5.14-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libextractor.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1081.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Mehdi Oudad et Kevin Fernandez ont découvert un dépassement de tampon dans
la bibliothèque ktools utilisée dans motor, un environnement intégré de
développement pour C, C++ et Java, qui aurait pu permettre à des attaquants
locaux d'exécuter du code arbitraire.</p>

<p>Pour l'ancienne distribution stable (<em>Woody</em>), ce problème a été
corrigé dans la version&nbsp;3.2.2-2woody1.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version&nbsp;3.4.0-2sarge1.</p>

<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version&nbsp;3.4.0-6.</p>

<p>Nous vous recommandons de mettre à jour votre paquet motor.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1083.data"

Reply to: