-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU-Linux
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Dépassement d'entier</define-tag> <define-tag moreinfo> <p> Un dépassement d'entier a été découvert dans les routines de gestion des pixmaps des bibliothèques de l'interface graphique Qt. Cela peut permettre à un attaquant de causer un déni de service et peut-être d'exécuter un code quelconque en fournissant une image conçu spécialement et en persuadant une victime de la regarder avec une application basée sur Qt. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 3:3.3.4-3sarge1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans les versions 3:3.3.7-1 et 4.2.1-1.</p> <p> Nous vous recommandons de mettre à jour vos paquets qt-x11-free. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1200.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans l'analyseur de
réseau Ethereal. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4574";>CVE-2005-4574</a>
<p>
On a découvert que le dissecteur de parties MIME était vulnérable à un déni
de service causé par un débordement de flux sans action extérieure<!-- ?
off-by-one overflow-->.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4805";>CVE-2006-4805</a>
<p>
On a découvert que le dissecteur XOT était vulnérable à un déni de service
causé par une corruption de mémoire.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés
dans la version 0.10.10-2sarge9. À cause de problèmes techniques avec
l'infrastructure des démons de construction de sécurité, cette mise à jour
n'est pas disponible pour les architectures hppa et sparc. Elle sera publiée
dès que ces problèmes auront été résolus.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes seront corrigés
prochainement.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets ethereal.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2006/dsa-1201.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> « cstone » et Rich Felker ont découvert que des séquences UTF-8 conçues spécialement pouvaient conduire à une écriture hors des bandes mémoires lorsqu'elles étaient affichées dans le multiplexeur de terminal screen, cela permet un déni de service et peut-être l'exécution de code quelconque. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 4.0.2-4.1sarge1. À cause de problèmes techniques avec l'infrastructure des démons de construction de sécurité, cette mise à jour n'est pas disponible pour l'architecture Sun Sparc. Elle sera publiée dès que ces problèmes auront été résolus. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la versions 4.0.3-0.1. </p> <p> Nous vous recommandons de mettre à jour votre paquet screen. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1202.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Steve Rigler a découvert que le module PAM d'authentification sur le serveurs LDAP traitait les messages de contrôle PasswordPolicyReponse de manière incorrecte, cela peut conduire un attaquant à pouvoir se connecter sur un compte système suspendu. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 178-1sarge3. À cause de problèmes techniques avec l'infrastructure des démons de construction de sécurité, cette mise à jour n'est pas disponible pour l'architecture Sun Sparc. Elle sera publiée dès que ces problèmes auront été résolus. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la versions 180-1.2. </p> <p> Nous vous recommandons de mettre à jour votre paquet libpam-ldap. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1203.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Vérification d'entrée manquante</define-tag> <define-tag moreinfo> <p> On a découvert que le gestionnaire de règles de filtrage de courriels Ingo n'effectuait pas de protection suffisante des données fournies par l'utilisateur dans les fichiers de règles procmail créés, cela permet l'exécution de commandes shell quelconques. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.0.1-1sarge1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la versions 1.1.2-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet ingo1. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1204.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Fichiers temporaires peu sûrs</define-tag> <define-tag moreinfo> <p> L'annonce initiale de ce problème ne contenait pas tous les paquets corrigés pour les architectures gérées, ce qui est corrigé par cette mise à jour. Pour les références, veuillez trouver ci-dessous le texte de l'annonce initiale : </p> <blockquote> <p> Marco d'Itri a découvert que thttpd, un serveur web petit, rapide et sécurisé, utilisait des fichiers temporaires peu sûrs lors de la rotation de ses fichiers de journaux, cela peut conduire à un déni de service par une attaque par lien symbolique. </p> </blockquote> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 2.23beta1-3sarge2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la versions 2.23beta1-5. </p> <p> Nous vous recommandons de mettre à jour votre paquet thttpd. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1205.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans PHP, un langage de
script embarqué dans le HTML côté serveur, cela peut conduire à l'exécution de
code quelconque. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3353";>CVE-2005-3353</a>
<p>
Tim Starling a découvert qu'un manque de vérification d'entrée dans le
module EXIF pouvait conduire à un déni de service.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3017";>CVE-2006-3017</a>
<p>
Stefan Esser a découvert une erreur de programmation critique pour la
sécurité dans l'implantation des tables d'associations du moteur interne
Zend.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4482";>CVE-2006-4482</a>
<p>
On a découvert que les fonctions str_repeat() et wordwrap() n'effectuaient
pas de vérifications suffisantes sur les limites de mémoire tampon sur les
systèmes 64 bits, cela peut conduire à l'exécution de code quelconque.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5465";>CVE-2006-5465</a>
<p>
Stefan Esser a découvert un dépassement de mémoire tampon dans les
fonctions htmlspecialchars() et htmlentities(), cela peut conduire à
l'exécution de code quelconque.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés
dans la version 4:4.3.10-18. Les constructions pour les architecture hppa
et m68k seront fournies plus tard, lorsqu'elles seront disponibles.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 4:4.4.4-4 de php4 et la version 5.1.6-6 de php5.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets php4.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2006/dsa-1206.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
La mise à jour de phpmyadmin dans l'annonce de sécurité Debian n° 1207 a
introduit une régression. Cette mise à jour corrige ce défaut. Pour être
complet, veuillez trouver ci-dessous le texte de l'annonce initial :
</p>
<blockquote>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans phpMyAdmin, un
programme pour administrer MySQL sur une interface web. Le projet des
expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3621";>CVE-2005-3621</a>
<p>
Une vulnérabilité d'injection CRLF permet à des attaquants distants de
mener des attaques par scission de réponses HTTP.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3665";>CVE-2005-3665</a>
<p>
Plusieurs vulnérabilités de script multisite permettent à des attaquants
distants d'injecter un script web ou de HTML quelconque <i>via</i> (1) la
variable HTTP_HOST et (2) divers scripts dans le répertoire des
bibliothèques qui gèrent la génération des en-têtes.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1678";>CVE-2006-1678</a>
<p>
Plusieurs vulnérabilités de script multisite permettent à des attaquants
distants d'injecter un script web ou de HTML quelconque <i>via</i> des
scripts dans le répertoire des thèmes.
</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2418";>CVE-2006-2418</a>
<p>
Une vulnérabilité de script multisite permet à des attaquants distants
d'injecter un script web ou de HTML quelconque <i>via</i> l'argument db de
footer.inc.php.
</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5116";>CVE-2006-5116</a>
<p>
Un attaquant distant peut écraser des variables internes avec la variable
globale _FILES.
</p>
</li>
</ul>
</blockquote>
<p>
Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés
dans la version 2.6.2-3sarge3.
</p>
<p>
Pour la prochaine distribution stable (<em>Etch</em>) et la distribution
instable (<em>Sid</em>), ces problèmes ont été corrigés dans la
version 2.9.0.3-1.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet phpmyadmin.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2006/dsa-1207.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans le système de
suivi de bogues Bugzilla, cela peut conduire à l'exécution de code quelconque.
L sur une interface web. Le projet des expositions et vulnérabilités communes
(CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4534";>CVE-2005-4534</a>
<p>
Javier Fernández-Sanguino Peña a découvert que l'utilisation de fichiers
temporaires peu sûrs pouvait conduire à un déni de service par une attaque
par lien symbolique.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5453";>CVE-2006-5453</a>
<p>
Plusieurs vulnérabilités par script multisite peuvent conduire à
l'injection de code de script web quelconque.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés
dans la version 2.16.7-7sarge2.
</p>
<p>
Pour la prochaine distribution stable (<em>Etch</em>), ces problèmes ont été
corrigés dans la version 2.22.1-1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.22.1-1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets bugzilla.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2006/dsa-1208.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Falsification de requêtes intersites</define-tag> <define-tag moreinfo> <p> On a découvert que Trac, un wiki et système de suivi de problèmes pour les projets de développement logiciel, n'effectuait pas de validation suffisante sur la falsification de requêtes intersites, cela pourrait conduire un attaquant à pouvoir effectuer des manipulations sur le site Trac avec les privilèges de l'utilisateur Trac attaqué. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.8.1-3sarge7. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la versions 0.10.1-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet trac. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2006/dsa-1209.data"
Attachment:
signature.asc
Description: Digital signature