-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU-Linux
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs problèmes liés à la sécurité ont été découverts dans Mozilla et les
produits dérivés. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6497";>CVE-2006-6497</a>
<p>
Plusieurs vulnérabilités dans le moteur de rendu permettent à des
attaquants distants de causer un déni de service et leur permettent
peut-être d'exécuter un code quelconque. [MFSA 2006-68]
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6498";>CVE-2006-6498</a>
<p>
Plusieurs vulnérabilités dans le moteur JavaScript permettent à des
attaquants distants de causer un déni de service et leur permettent
peut-être d'exécuter un code quelconque. [MFSA 2006-68]
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6499";>CVE-2006-6499</a>
<p>
Un bogue dans la fonction js_dtoa permet à des attaquants de causer un déni
de service. [MFSA 2006-68]
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6501";>CVE-2006-6501</a>
<p>
« shutdown » a découvert une vulnérabilité qui permet à des
attaquants distants d'augmenter leurs privilèges et d'installer un code
malveillant <i>via</i> la fonction JavaScript watch. [MFSA 2006-70]
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6502";>CVE-2006-6502</a>
<p>
Steven Michaud a découvert un bogue de programmation qui permet à des
attaquants distants de causer un déni de service. [MFSA 2006-71]
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6503";>CVE-2006-6503</a>
<p>
« moz_bug_r_a4 » a rapporté que l'attribut src d'un élément IMG
pouvait être utilisé pour injecter du code JavaScript. [MFSA 2006-72]
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6505";>CVE-2006-6505</a>
<p>
Georgi Guninski a découvert plusieurs débordements de mémoire tampon basé
sur des blocs de mémoire réservée qui pouvaient permettre à des attaquants
distants d'exécuter un code quelconque. [MFSA 2006-74]
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés
dans la version 1.7.8-1sarge10.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.0.7-1 d'iceape.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets Mozilla et Iceape.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1265.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Gerardo Richarte a découvert que GnuPG, un remplaçant libre de PGP, ne fournissait pas suffisamment de retour d'information si un message OpenPGP contenait à la fois des parties signées et non signées. L'insertion de segments de texte dans un message signé par ailleurs pouvait être exploité pour falsifier le contenu des messages signés. Cette mise à jour évite de telles attaques ; l'ancien comportement peut toujours être activé en fournissant l'option --allow-multiple-messages. </p> <p> Pour la distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 1.4.1-1.sarge7. </p> <p> Pour la prochaine distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 1.4.6-2. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 1.4.6-2. </p> <p> Nous vous recommandons de mettre à jour vos paquets gnupg. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1266.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Vérification d'entrée manquante</define-tag> <define-tag moreinfo> <p> On a découvert que WebCalendar, une application de calendrier basée sur PHP, de protégeait pas suffisamment un variable interne, cela permet l'inclusion de fichiers distants. </p> <p> Pour la distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.9.45-4sarge6. </p> <p> La prochaine distribution stable (<em>Etch</em>) ne contient plus les paquets webcalendar. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour votre paquet webcalendar. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1267.data"
Attachment:
signature.asc
Description: Digital signature