-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU-Linux
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Dépassement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Oliver Karow a découvert que le frontal WebDBM de la base de données MaxDB n'effectuait pas de vérifications suffisantes des requêtes qui lui sont adressées, cela peut conduire à l'exécution de code quelconque. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 7.5.00.24-4. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour votre paquet maxdb-7.5.00. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1190.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans Mozilla et les produits dérivés comme Mozilla Thunderbird. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2788">CVE-2006-2788</a> <p> Fernando Ribeiro a découvert qu'une vulnérabilité dans la fonction getRawDER permettait à des attaquants distants de causer un déni de service (gel) et peut-être d'exécuter un code quelconque. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4340">CVE-2006-4340</a> <p> Daniel Bleichenbacher a récemment décrit une erreur d'implantation dans la vérification de signature RSA, cela peut faire accepter à tort des certificats SSL à l'application. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4565">CVE-2006-4565</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4566">CVE-2006-4566</a> <p> Priit Laes a rapporté qu'une expression rationnelle JavaScript peut déclencher un dépassement de mémoire tampon basé sur une bloc de mémoire, cela permet à des attaquants distants de causer un déni de service et peut-être d'exécuter un code quelconque. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4568">CVE-2006-4568</a> <p> Une vulnérabilité a été découverte, cela permet à des attaquants distants de contourner le modèle de sécurité et d'injecter du contenu dans le cadre d'un autre site. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4570">CVE-2006-4570</a> <p> Georgi Guninski a démontré que même avec JavaScript désactivé dans l'application de courriel (ce qui est le cas par défaut) un attaquant peut encore exécuter du JavaScript lorsqu'on visualisé un message, qu'on y répond, ou qu'on le fait suivre. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4571">CVE-2006-4571</a> <p> Plusieurs vulnérabilités non précisées dans Firefox, Thunderbird et SeaMonkey permettent à des attaquants distants de causer un déni de service, de corrompre la mémoire, et peut-être d'exécuter un code quelconque. </p> </li> </ul> <p> Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 1.0.2-2.sarge1.0.8c.1. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 1.5.0.7-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets Mozilla Thunderbird. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1191.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans Mozilla et les produits dérivés comme Mozilla Thunderbird. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2788">CVE-2006-2788</a> <p> Fernando Ribeiro a découvert qu'une vulnérabilité dans la fonction getRawDER permettait à des attaquants distants de causer un déni de service (gel) et peut-être d'exécuter un code quelconque. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4340">CVE-2006-4340</a> <p> Daniel Bleichenbacher a récemment décrit une erreur d'implantation dans la vérification de signature RSA, cela peut faire accepter à tort des certificats SSL à l'application. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4565">CVE-2006-4565</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4566">CVE-2006-4566</a> <p> Priit Laes a rapporté qu'une expression rationnelle JavaScript peut déclencher un dépassement de mémoire tampon basé sur une bloc de mémoire, cela permet à des attaquants distants de causer un déni de service et peut-être d'exécuter un code quelconque. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4568">CVE-2006-4568</a> <p> Une vulnérabilité a été découverte, cela permet à des attaquants distants de contourner le modèle de sécurité et d'injecter du contenu dans le cadre d'un autre site. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4570">CVE-2006-4570</a> <p> Georgi Guninski a démontré que même avec JavaScript désactivé dans l'application de courriel (ce qui est le cas par défaut) un attaquant peut encore exécuter du JavaScript lorsqu'on visualisé un message, qu'on y répond, ou qu'on le fait suivre. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4571">CVE-2006-4571</a> <p> Plusieurs vulnérabilités non précisées dans Firefox, Thunderbird et SeaMonkey permettent à des attaquants distants de causer un déni de service, de corrompre la mémoire, et peut-être d'exécuter un code quelconque. </p> </li> </ul> <p> Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 1.7.8-1sarge7.3.1. </p> <p> Nous vous recommandons de mettre à jour vos paquets Mozilla. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1192.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans le système de fenêtrage X, cela peut conduire à l'exécution de code quelconque ou un déni de service. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3467">CVE-2006-3467</a> <p> Chris Evan a découvert un dépassement d'entier dans le code qui gère les polices PCF, cela peut conduire à un déni de service si une police mal formée est ouverte. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3739">CVE-2006-3739</a> <p> On a découvert qu'un dépassement d'entier dans le code qui gère les métriques des polices Adobe pouvait conduire à l'exécution de code quelconque. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3740">CVE-2006-3740</a> <p> On a découvert qu'un dépassement d'entier dans le code qui gère les les données des polices CMap et CIDFont pouvait conduire à l'exécution de code quelconque. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4447">CVE-2006-4447</a> <p> Le code d'initialisation de XFree86 n'effectue pas de vérifications suffisantes de la valeur retournée par setuid() lors de l'abandon de privilèges, cela peut conduire à une augmentation locale de privilèges. </p> </li> </ul> <p> Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 4.3.0.dfsg.1-14sarge2. Pour cette mise à jour, l'architecture Motorola 680x0 manque car la construction a échoué à cause de contraintes d'espace disque sur l'hôte de construction. Ils seront publiés lorsque ce problème aura été résolu. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 1:1.2.2-1 de libxfont et la version 1:1.0.2-9 de xorg-server. </p> <p> Nous vous recommandons de mettre à jour vos paquets XFree86. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1193.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Dépassement d'entier</define-tag> <define-tag moreinfo> <p> On a découvert qu'un dépassement d'entier dans libwmf, la bibliothèque de lecture des fichiers Windows Metafile Format, pouvait être exploité pour exécuter un code quelconque si un fichier WMF conçu spécialement était analysé. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.2.8.3-2sarge1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.2.8.4-2. </p> <p> Nous vous recommandons de mettre à jour votre paquet libwmf. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1194.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Déni de service (multiple)</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans le paquet du logiciel de chiffrement OpenSSL, cela peut permettre à un attaquant de lancer une attaque par déni de service en épuisant les ressources du système ou en plantant des processus sur l'ordinateur de la victime. </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3738">CVE-2006-3738</a> <p> Tavis Ormandy et Will Drewry de l'équipe de sécurité de Google ont découvert un dépassement de mémoire tampon dans la fonction utilitaire SSL_get_shared_ciphers utilisée par certaines applications comme exim et mysql. Un attaquant peut envoyer une liste de chiffres qui peuvent saturer une mémoire tampon. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4343">CVE-2006-4343</a> <p> Tavis Ormandy et Will Drewry de l'équipe de sécurité de Google ont découvert un possible déni de service dans le code du client sslv2. Lorsque une application cliente utilise OpenSSL pour réaliser une connexion SSLv2 vers un serveur malveillant, ce serveur peut causer le plantage du client. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2940">CVE-2006-2940</a> <p> Dr S N Henson de l'équipe principale OpenSSL et l'Open Network Security ont récemment développé un ensemble de tests ASN1 pour NISCC (www.niscc.gov.uk). Lorsqu'ils ont été lancés sur OpenSSL un déni de service a été découvert. </p> <p> Certains types de clefs publiques peuvent utiliser des quantités disproportionnées de temps pour être traitées. Cela peut être utilisé par un attaquant lors d'une attaque par déni de service. </p> </li> </ul> <p> Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 0.9.6m-1sarge4. </p> <p> Ce paquet n'existe que pour des raison de compatibilité avec des logiciels plus anciens et n'est pas présent dans les distributions instable et de test de Debian. </p> <p> Nous vous recommandons de mettre à jour votre paquet openssl096. Veuillez notez que les services liés aux bibliothèques partagées openssl devront être redémarrés. Ces services comprennent par exemple la plupart des agents de transport de courriels, les serveurs SSH et les serveurs web. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1195.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans le moteur de recherche de logiciels malveillants ClamAV, cela peut conduire à l'exécution de code quelconque. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4182">CVE-2006-4182</a> <p> Damian Put a découvert une erreur de dépassement de zone de mémoire dans le script de reconstruction des fichiers PE, cela peut conduire à l'exécution de code quelconque. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5295">CVE-2006-5295</a> <p> Damian Put a découvert qu'un manque de vérification en entrée dans le code gérant CHM pouvait conduire à un déni de service. </p> </li> </ul> <p> Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 0.84-2.sarge.11. À cause de problèmes techniques avec l'hôte de construction, cette mise à jour n'est pas disponible pour l'architecture Sparc. Elle sera fournie prochainement. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 0.88.5-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets clamav. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1196.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Dépassement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Benjamin C. Wiley Sittler a découvert que la fonction repr() de l'interpréteur Python n'allouait pas suffisamment de mémoire lors de l'analyse de chaînes Unicode UCS-4, cela peut conduire à l'exécution de code quelconque par un dépassement de mémoire tampon. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 2.4.1-2sarge1. À cause de problèmes de construction, cette mise à jour manque pour l'architecture m68k. Lorsque ces problèmes auront été résolus, des binaires pour l'architecture m68k seront publiés. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.4.4-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets Python 2.4. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1197.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Dépassement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Benjamin C. Wiley Sittler a découvert que la fonction repr() de l'interpréteur Python n'allouait pas suffisamment de mémoire lors de l'analyse de chaînes Unicode UCS-4, cela peut conduire à l'exécution de code quelconque par un dépassement de mémoire tampon. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 2.3.5-3sarge2. À cause de problèmes de construction, cette mise à jour manque pour les architectures Alpha et Sparc. Lorsque ces problèmes auront été résolus, des binaires seront publiés. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.3.5-16. </p> <p> Nous vous recommandons de mettre à jour vos paquets Python 2.3. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1198.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans webmin, une boîte à outils d'administration basée sur la Toile. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3912">CVE-2005-3912</a> <p> Une vulnérabilité de chaîne de formatage dans miniserv.pl pourrait permettre à un attaquant de causer un déni de service en faisant planter l'application ou en épuisant les ressources du système, et pourrait peut-être permettre l'exécution de code quelconque. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3392">CVE-2006-3392</a> <p> Une mauvaise vérification de l'entrée dans miniserv.pl pourrait permettre à un attaquant de lire des fichiers quelconques sur l'hôte webmin en fournissant une URL conçue spécialement au serveur http miniserv. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4542">CVE-2006-4542</a> <p> Une mauvaise gestion des caractères null dans les URL dans miniserv.pl pourrait permettre à un attaquant de conduire des attaques de scripts intersites, de lire le code source du programme CGI, de lister le contenu des répertoires locaux, et peut-être d'exécuter un code quelconque. </p> </li> </ul> <p> Les mises à jour pour la distribution stable sont disponibles pour les architectures alpha, amd64, arm, hppa, i386, ia64, m68k, mips, mipsel, powerpc, s390 et sparc. </p> <p> Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 1.180-3sarge1. </p> <p> Webmin n'est pas inclus dans les distributions instable (<em>Sid</em>) et de test (<em>Etch</em>) de Debian, ces problème n'y sont donc pas. </p> <p> Nous vous recommandons de mettre à jour votre paquet webmin (1.180-3sarge1). </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1199.data"
Attachment:
signature.asc
Description: Digital signature