-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Sebastian Krahmer a découvert que rsync, un programme rapide de copie de fichiers à distance, contenait une erreur de décalage. Cela permet à des attaquants distants d'exécuter du code arbitraire par l'intermédiaire de noms de répertoires longs. </p> <p> Dans l'ancienne distribution stable (<em>Sarge</em>), ce problème n'est pas présent. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.6.9-2etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour votre paquet rsync. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1360.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> On a découvert que postfix-policyd, un module antipourriel pour postfix, de testait pas correctement les limites des commandes SMTP entrantes. Cela permet potentiellement l'exploitation à distance de code arbitraire. </p> <p> Dans l'ancienne distribution stable (<em>Sarge</em>), ce paquet n'est pas présent. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.80-2.1etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.80-2.2. </p> <p> Nous vous recommandons de mettre à jour votre paquet postfix-policyd. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1361.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Divers</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans lighttpd, un serveur web rapide avec une empreinte mémoire minimale. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3946">CVE-2007-3946</a> <p> L'utilisation de mod_auth peut conduire au plantage du serveur par une attaque de déni de service. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3947">CVE-2007-3947</a> <p> La mauvaise gestion des en-têtes HTTP répétés peut causer un plantage du serveur par une attaque de déni de service. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3949">CVE-2007-3949</a> <p> Un bogue dans mod_access permet potentiellement à des attaquants distants d'outrepasser les restriction s d'accès par l'intermédiaire de caractères <q>divisé</q> en fin de ligne. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3950">CVE-2007-3950</a> <p> Sur les plates-formes 32 bits, les utilisateurs peuvent créer des attaques de déni de service, ce qui plante le serveur, par l'intermédiaire de mod_webdav, mod_fastcgi, ou mod_scgi. </p> </li> </ul> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 1.4.13-4etch3. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 1.4.16-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet lighttpd. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1362.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités locales et à distance ont été découvertes dans le noyau Linux ; elles peuvent conduire à un déni de service ou à l'exécution de code arbitraire. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2172">CVE-2007-2172</a> <p> Thomas Graf a signalé une erreur de frappe dans le gestionnaire de protocole IPv4. Elle peut être utilisée par un attaquant local pour un dépassement de tableau par l'intermédiaire de paquets conçus à dessein. Cela peut entraîner un déni de service (plantage du système). La contre-partie dans DECnet de ce problème a déjà été corrigée dans l'annonce de sécurité n° 1356. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2875">CVE-2007-2875</a> <p> iDefense a signalé un possible débordement d'entier par le bas dans le système de fichiers cpuset. Cela permet à des attaquants locaux d'obtenir l'accès à la mémoire sensible du noyau. Cette vulnérabilité ne peut être exploitée que si le système de fichiers cpuset est monté. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3105">CVE-2007-3105</a> <p> L'équipe PaX a découvert un potentiel débordement de mémoire tampon dans le générateur de nombres aléatoires. Cela permet à des utilisateurs locaux de causer un déni de service ou d'obtenir des privilèges supplémentaires. On pense que ce problèmes n'affecte pas les installations Debian par défaut où seul le superutilisateur a suffisamment de privilèges pour l'exploiter. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3843">CVE-2007-3843</a> <p> Une erreur de programmation dans le sous-système CIFS permet l'utilisation de messages non signés même si le client a été configuré pour utiliser des messages signé en lui passant le paramètre de montage sec=ntlmv2i. Cela permet à des attaquants distants d'usurper le trafic réseau CIFS. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4308">CVE-2007-4308</a> <p> Alan Cox a signalé un problèmes dans le pilote aacraid. Cela permet à des utilisateurs locaux sans privilèges de faire des appels ioctl, ce qui doit être réservé aux privilèges d'administration. </p> </li> </ul> <p> Ces problèmes ont été corrigés dans la distribution stable dans la version 2.6.18.dfsg.1-13etch2. </p> <p> Le tableau suivant liste les paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour : </p> <div class="centerdiv"><table cellspacing="0" cellpadding="2"> <tr><th> </th> <th>Debian 4.0 (<em>Etch</em>)</th></tr> <tr><td>fai-kernels</td> <td>1.17+etch5</td></tr> <tr><td>user-mode-linux</td> <td>2.6.18-1um-2etch4</td></tr> </table></div> <p> Nous vous recommandons de mettre à jour votre paquet de noyau immédiatement et de redémarrer la machine. Si vous avez construit un noyau personnalisé avec le paquet des sources du noyau, vous devez le reconstruire pour tirer parti de ces corrections. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1363.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans l'éditeur vim. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2953">CVE-2007-2953</a> <p> Ulf Harnhammar a découvert qu'une faiblesse de chaîne de formatage dans la fonction helptags_one() de src/ex_cmds.c (déclenchée par la commande <q>helptags</q>) pouvait conduire à l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2438">CVE-2007-2438</a> <p> Les éditeurs fournissent souvent un moyen d'embarquer des commandes de configuration (aussi appelées <i>modelines</i>) qui sont exécutées lors de l'ouverture d'un fichier. Les commandes malveillantes sont filtrées par un mécanisme de bac à sable. On a découvert que les appels de fonctions à writefile(), feedkeys() et system() n'étaient pas filtrés. Cela permet l'exécution de commandes de shell par l'ouverture dans vim de fichiers conçus a dessein. </p> </li> </ul> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version .3-071+1sarge2. Sarge n'est pas affectée par <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2438">\ CVE-2007-2438</a>. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 7.0-122+1etch3. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 7.1-056+1. </p> <p> Nous vous recommandons de mettre à jour vos paquets vim. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1364.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Nikolaus Schulz a découvert qu'une erreur de programmation dans id3lib, une bibliothèque de gestion des étiquettes ID3 pouvait conduire à un déni de service <i>via</i> des attaques par lien symbolique. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 3.8.3-4.1sarge1. </p> <p> À cause de limitations techniques dans les scripts de gestion des archives la correction pour la distribution stable (<em>Etch</em>) ne sera publiée que dans quelques jours. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 3.8.3-7. </p> <p> Nous vous recommandons de mettre à jour vos paquets id3lib3.8.3. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1365.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans la boîte à outils antivirus Clam. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4510">CVE-2007-4510</a> <p> On a découvert qu'on pouvait abuser de l'analyseur RTF et RFC2397 en lui faisant déréférencer un pointeur NULL. Cela conduit a un déni de service. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4560">CVE-2007-4560</a> <p> On a découvert que clamav-milter ne vérifiait pas suffisamment ces entrées. Cela peut conduire à l'exécution de commandes de shell arbitraires. </p> </li> </ul> <p> L'ancienne distribution stable (<em>Sarge</em>) n'est affectée que par une partie de ces problèmes. Une mise à jour sera fournie ultérieurement. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 0.90.1-3etch7. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 0.91.2-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets clamav. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1366.data"
Attachment:
signature.asc
Description: Digital signature