[RFR] webwml://security/2006/dsa-{1125,1126,1127,1128,1129,1130}.wml
Bonsoir,
Voici quelques annonces de sécurité à relire.
Merci d'avance.
--
Simon Paillard
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>La mise à jour de Drupal contenue dans le bulletin 1125 initial
contenait une régression. Cette mise à jour corrige ce défaut. Voici ci-dessous
l'intégralité du bulletin précédent :</p>
<p>Plusieurs vulnérabilités exploitables à distance ont été découvertes dans la
plateforme de site web Drupal, qui pouvaient permettre l'exécution de script
web arbitraire. Le projet « Common Vulnerabilities and Exposures » a
identifié les problèmes suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2742";>CVE-2006-2742</a>
<p>Une vulnérabilité d'injection SQL a été découverte dans les variables
« count » et « from » de l'interface de base de
données.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2743";>CVE-2006-2743</a>
<p>Plusieurs extensions de fichiers n'étaient pas gérées correctement
lorsque Drupal était exécuté sur un serveur Apache avec mod_mime
activé.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2831";>CVE-2006-2831</a>
<p>Une variante de <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2743";>CVE-2006-2743</a>
a également été corrigée.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2832";>CVE-2006-2832</a>
<p>Une vulnérabilité de script intersites
(« Cross-Site-Scripting ») a été découverte dans le module
d'envoi de fichier.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2833";>CVE-2006-2833</a>
<p>Une vulnérabilité de script intersites
(« Cross-Site-Scripting ») a été découverte dans le module de
taxation.</p></li>
</ul>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 4.5.3-6.1sarge2.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 4.5.8-1.1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet drupal.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1125.data"
#use wml::debian::translation-check translation="1.3" maintainer="Simon Paillard"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Un problème a été découvert dans le pilote de canal IAX2 pour Asterisk, un
commutateur téléphonique privé à code source ouvert, qui permettait à un
attaquant distant de provoquer un plantage du serveur Asterisk.</p>
<p>L'ancienne distribution stable (<em>Woody</em>) n'est pas touchée par ce
problème.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 1.0.7.dfsg.1-2sarge3.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème sera bientôt
corrigé.</p>
<p>Nous vous recommandons de mettre à jour vos paquets asterisk.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1126.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités exploitables à distance ont été découvertes dans
l'analyseur réseau Ethereal, qui pouvaient permettre l'exécution de code
arbitraire. Le projet « Common Vulnerabilities and Exposures » a
identifié les problèmes suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3628";>CVE-2006-3628</a>
<p>Ilja van Sprundel a découvert que les extracteurs FW-1 et MQ étaient
vulnérables au niveau des chaînes de formatage.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3629";>CVE-2006-3629</a>
<p>Ilja van Sprundel a découvert que l'extracteur MOUNT était vulnérable à
une attaque par déni de service provoqué par une surconsommation de
mémoire.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3630";>CVE-2006-3630</a>
<p>Ilja van Sprundel a découvert des dépassements dus à des décalages
d'entiers dans les extracteurs NCP NMAS et NDPS.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3631";>CVE-2006-3631</a>
<p>Ilja van Sprundel a découvert un dépassement de tampon dans l'extracteur
NFS.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3632";>CVE-2006-3632</a>
<p>Ilja van Sprundel a découvert que l'exctracteur SSH était vulnérable à
une attaque par déni de service provoqué par une boucle infinie.</p></li>
</ul>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 0.10.10-2sarge6.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 0.99.2-1 de wireshark, l'analyseur réseau anciennement
connu sous le nom d'ethereal.</p>
<p>Nous vous recommandons de mettre à jour vos paquets ethereal.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1127.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Erreur de permissions</define-tag>
<define-tag moreinfo>
<p>Yan Rong Ge a découvert que de mauvaises permissions sur une page de mémoire
partagée dans heartbeat, le sous-système de haute disponibilité pour Linux,
pouvaient être exploitées par un attaquant local pour provoquer un déni de
service.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 1.2.3-9sarge5.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème sera bientôt
corrigé.</p>
<p>Nous vous recommandons de mettre à jour vos paquets heartbeat.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1128.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Chaîne de formatage</define-tag>
<define-tag moreinfo>
<p>Ulf Härnhammar et Max Vozeler, du projet d'audit de sécurité de Debian, ont
découverts plusieurs bogues de sécurité liés aux chaînes de formatage dans
osiris, une interface de contrôle et de surveillance de l'intégrité des
systèmes présents sur l'ensemble d'un réseau. Un attaquant distant pouvait les
exploiter pour provoquer un déni de service ou exécuter du code arbitraire.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 4.0.6-1sarge1.</p>
<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 4.2.0-2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets osiris.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1129.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Mauvaise vérification des entrées</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité de script intersites (« cross-site scripting »)
a été découverte dans sitebar, un gestionnaire de marque-pages par le web écrit
en PHP, et permettait à des attaquants distants d'injecter des scripts web ou
HTML arbitraires.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 3.2.6-7.1.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version 3.3.8-1.1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet sitebar.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1130.data"
Reply to: