-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Bonjour,
voici une première proposition de traduction des 2 pages web en question.
Pour vous faciliter la relecture j'ai attaché pour chaque page (1) un
fichier "diff" correspondant au texte anglais de la page non encore
traduit, (2) un fichier "diff" correspondant à ma traduction, et (3) le
fichier ".src" complet mis à jour avec ma traduction.
Quelques remarques:
1- J'ai traduit "off-by-one" par "décalage de un". Si quelqu'un a
une meilleure proposition qu'il n'hésite pas à la proposer.
2- Dans CVE-2007-5751, j'ai traduit "credentials" par "accès
supplémentaires". Si quelqu'un...
3- Dans nonvulns-sarge, la vulnérabilité CVE-2007-1463 semble être
mal rapportée. Sa description correspond en fait à la vulnérabilité
CVE-2007-1841. Que dois-je faire?
Bonne soirée,
Cyrille
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFHZZf4ego27Gyd61kRAt1TAKCL4WIjGx/GnF0rQC6x4L31WiZSiQCgk61w
VaiIluIyvu0trxopmbHd7k8=
=hiqD
-----END PGP SIGNATURE-----
Attachment:
nonvulns-etch-1.11.src
Description: WAIS Source
10a11,14 > CVE-2005-1924 > squirrelmail : le plugin G/PgP (GPG) permet à des utilisateurs distants authentifiés d'exécuter du code quelconque, ce plugin n'est pas compilé dans Debian. > CVE-2006-4169 > squirrelmail : de multiples vulnérabilités de traversée de répertoires dans le plugin G/PGP (GPG) permettent à des utilisateurs distants authentifiés d'exécuter des fichiers locaux quelconques, ce plugin n'est pas compilé dans Debian. 23a28,35 > CVE-2007-1054 > mediawiki1.7 : Une vulnérabilité de scripts intersites (XSS) permet à des attaquants distants d'injecter un script web quelconque, déjà corrigé dans Etch. > CVE-2007-1378 > php4 : Possibilité d'écrire à une adresse mémoire quelconque en utilisant un contexte dépendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Etch. > CVE-2007-1379 > php4 : Possibilité d'exécuter du code quelconque en utilisant un contexte dépendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Etch. > CVE-2007-1381 > php5 : Possibilité d'exécuter du code quelconque en utilisant un contexte dépendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Etch. 26a39,40 > CVE-2007-1862 > apache2 : la copie incorrecte des données d'en-tête de tous les niveaux peut permettre à des attaquants distants d'obtenir des informations potentiellement sensibles, paquet trop ancien dans Etch. 36a51,52 > CVE-2007-2797 > xterm : une mauvaise configuration des droits d'appartenances permet à des utilisateurs locaux d'écrire dans les terminaux d'autres utilisateurs, les configurations de compilation empêchent ceci dans Etch. 40a57,66 > CVE-2007-2951 > kvirc : Exécution de commande à distance avec l'assistance d'un utilisateur, code absent de Etch. > CVE-2007-3102 > openssh : Une vulnérabilité non spécifiée permet à des attaquants distants d'écrire des caractères quelconques dans un fichier de log d'audit, ce problème est spécifique à Red Hat / Fedora. > CVE-2007-3280 > postgresql8.(1|2) : La librairie "Database Link" (dblink) permet à des superutilisateurs distants authentifiés d'exécuter une fonction d'une librairie quelconque, ni PL/pgsql ni dblink ne sont activés par défaut. > CVE-2007-3374 > redhat-cluster : un dépassement de tampon permet à des attaquants distants d'effectuer un déni de service (crash) et éventuellement exécuter du code quelconque, code absent de Etch. > CVE-2007-3380 > linux-2.6 : Le gestionnaire de verroux distribués (DLM) permet à des attaquants distants d'effectuer un déni de service, code absent de Sarge. 46a73,91 > CVE-2007-3852 > sysstat : le script d'initialisation permet aux utilisateurs locaux d'exécuter du code arbitraire, ce script n'est pas utilisé dans Etch. > samba : usurpation de droits dans certaines configurations, code absent de Etch. > CVE-2007-4828 > mediawiki : vulnérabilité des scripts intersites (XSS) permettant à des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Etch. > CVE-2007-4996 > gaim : cette vulnérabilité permet à des attaquants distants d'effectuer un déni de service (crash) via un message "nudge", code absent de Etch. > CVE-2007-5266 > libpng : une vulnérabilité de type "décalage-de-un" permet à des attaquants distants d'effectuer un déni de service (crash) via une image PNG spécialement formée, code absent de Etch. > CVE-2007-5267 > libpng : une vulnérabilité de type "décalage-de-un" permet à des attaquants distants d'effectuer un déni de service (crash) via une image PNG spécialement formée, code absent de Etch. > CVE-2007-5268 > libpng : cette vulnérabilité peut permettre à des attaquants distants d'effectuer un deni de service (crash) via une image PNG spécialement formée, code absent de Etch. > CVE-2007-5751 > lifererea : utilisateurs locaux pouvant obtenir des accès supplémentaires, code absent de Etch. > CVE-2007-5939 > Heimdal: La fonction gss_userok permet à des attaquants distants d'avoir un impact indéterminé via un nom d'utilisateur invalide, code absent de Sarge. > CVE-2007-5977 > phpmyadmin : vulnérabilité des scripts intersites (XSS) permettant à des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Etch.
===================================================================
RCS file: /cvs/webwml/webwml/english/security/nonvulns-etch.src,v
retrieving revision 1.10
retrieving revision 1.26
diff -u -r1.10 -r1.26
--- webwml/english/security/nonvulns-etch.src 2007/07/17 17:43:42 1.10
+++ webwml/english/security/nonvulns-etch.src 2007/12/16 14:47:42 1.26
@@ -7,6 +7,10 @@
#
# multiple lines of text permitted
#
+CVE-2005-1924
+ squirrelmail: The G/PgP (GPG) plugin allows remote authenticated users to execute arbitrary commands, external Squirrelmail plugin not packaged in Debian.
+CVE-2006-4169
+ squirrelmail: Multiple directory traversal vulnerabilities in G/PGP (GPG) plugin allow remote authenticated users to execute arbitrary local files, external Squirrelmail plugin not packaged in Debian.
CVE-2006-4600
slapd: remote authenticated users with selfwrite ACL privileges can modify arbitrary DN, not build from vulnerable version.
CVE-2007-0650
@@ -15,8 +19,18 @@
moin: Remote retrieval of sensitive information, code not present in Etch despite CVE claim.
CVE-2007-1001
libgd: Arbitrary code execution by context-dependent attackers, fixed already in libgd2 as shipped by Debian.
+CVE-2007-1054
+ mediawiki1.7: Cross-site scripting (XSS) vulnerability allows remote attackers to inject arbitrary web script, fixed in Debian prior to release.
+CVE-2007-1378
+ php4: Possibility for context dependent attackers to write to arbitrary memory locations, Ovrimus extension not included in etch.
+CVE-2007-1379
+ php4: Possibility for context dependent attackers to execute arbitrary code, Ovrimus extension not included in etch.
+CVE-2007-1381
+ php5: Possibility for context dependent attackers to execute arbitrary code, code not present in etch.
CVE-2007-1856
cron: Local denial of service, Debian uses proper permission scheme.
+CVE-2007-1862
+ apache2: Incorrect copy of all levels of header data which could allow remote attackers to obtain potentially sensitive information, package too old in etch.
CVE-2007-2026
file: Denial of service by context dependent attackers, package too old in etch.
CVE-2007-2241
@@ -25,9 +39,41 @@
Bug#424729
VU#684664
libpng: tRNS chunk denial of service, no code injection possible.
+CVE-2007-2797
+ xterm: Wrong ownership settings allow local users to write to other users' terminals, compile-time settings prevent this in Debian.
CVE-2007-2844
php: Race condition on multi-threaded systems allows remote attackers to gain system access, not a supported configuration on Debian.
+CVE-2007-2951
+ kvirc: User assisted remote command execution, code not present in etch.
+CVE-2007-3102
+ openssh: Unspecified vulnerability allows remote attackers to write arbitrary characters to an audit log, this issue is specific to Red Hat / Fedora.
+CVE-2007-3280
+ postgresql8.(1|2): The Database Link library allows remote authenticated superusers to map and execute a function from any library, neither PL/pgsql nor dblink are enabled by default.
+CVE-2007-3374
+ redhat-cluster: Buffer overflow allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code, code not present in etch.
+CVE-2007-3380
+ linux-2.6: The Distributed Lock Manager (DLM) allows remote attackers to cause a denial of service, code not present in etch.
CVE-2007-3410
helix-player: Remote denial of service and possible code execution in wallclock functionality, Debian versions not affected.
CVE-2007-3508
glibc: hwcaps integer overflow, bug not exploitable.
+CVE-2007-3852
+ sysstat: The init script allows local users to execute arbitrary code, vulnerable init script not shipped.
+CVE-2007-4138
+ samba: Local privilege escalation in certain configurations, code not present in etch.
+CVE-2007-4828
+ mediawiki: Cross-site scripting (XSS) vulnerability allows remote attackers to inject arbitrary web script or HTML, code not present in etch.
+CVE-2007-4996
+ gaim: Allows remote attackers to cause a denial of service (crash) via a nudge message, code not present in etch.
+CVE-2007-5266
+ libpng: Off-by-one error allows remote attacker to cause a denial of service (crash) via a crafted PNG image, code not present in etch.
+CVE-2007-5267
+ libpng: Off-by-one error allows remote attacker to cause a denial of service (crash) via a crafted PNG image, code not present in etch.
+CVE-2007-5268
+ libpng: Might allow remote attackers to cause a denial of service (crash) via a crafted PNG image, code not present in etch.
+CVE-2007-5751
+ lifererea: Local users may obtain credentials, code not present in etch.
+CVE-2007-5939
+ Heimdal: The gss_userok function allows remote attackers to have an unknown impact via an invalid username, code not present in etch.
+CVE-2007-5977
+ phpmyadmin: Cross-site scripting (XSS) vulnerability allows certain remote authenticated users to inject arbitrary web script or HTML, code not present in etch.
Attachment:
nonvulns-sarge-1.69.src
Description: WAIS Source
19d18 < 169c168 < Squirrelmail : exécution de commande arbitraire dans le plugin vacation, absent de Sarge. --- > squirrelmail : exécution de commande arbitraire dans le plugin vacation, absent de Sarge. 171c170 < Squirrelmail : vulnérabilité de traversée de répertoire dans le plugin vacation, absent de Sarge. --- > squirrelmail : vulnérabilité de traversée de répertoire dans le plugin vacation, absent de Sarge. 185c184 < Squirrelmail : exécution de commande arbitraire dans le plugin S/MIME, absent de Sarge. --- > squirrelmail : exécution de commande arbitraire dans le plugin S/MIME, absent de Sarge. 220a220,221 > CVE-2005-1924 > squirrelmail : Le plugin G/PgP (GPG) permet à des utilisateurs distants authentifiés d'exécuter du code quelconque, ce plugin n'est pas compilé dans Debian. 267c268 < trac : vulnérabilité de script intersites, non applicable à Sarge. --- > trac : vulnérabilité de scripts intersites, non applicable à Sarge. 269c270 < phpbb2 : vulnérabilité de script intersites, option désactivée et utilisateurs avertis. --- > phpbb2 : vulnérabilité de scripts intersites, option désactivée et utilisateurs avertis. 300c301 < phpmyadmin : vulnérabilité de script intersites, paquet trop ancien dans Sarge. --- > phpmyadmin : vulnérabilité de scripts intersites, paquet trop ancien dans Sarge. 398a400,401 > CVE-2006-4169 > squirrelmail : De multiples vulnérabilités de traversée de répertoires dans le plugin G/PGP (GPG) permettent à des utilisateurs distants authentifiés d'exécuter des fichiers locaux quelconques, ce plugin n'est pas compilé dans Sarge. 411a415,416 > CVE-2006-5974 > fetchmail : déni de service (crash) à distance, code absent de Sarge. 444a450,453 > CVE-2007-1378 > php4 : Possibilité d'écrire à une adresse mémoire quelconque en utilisant un contexte dépendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Sarge. > CVE-2007-1379 > php4 : Possibilité d'exécuter du code quelconque en utilisant un contexte dépendant de l'attaquant, l'extension Ovrimus n'est pas inclue dans Sarge. 446a456,457 > CVE-2007-1463 > ipsec-tools : déni de service via la fonction isakmp_info_recv, résolu par coïncidence par un changement du code dans Sarge. 448a460,461 > CVE-2007-1718 > php4 : Possibilité de conduire des attaques de spam via une vulnérabilité de type injection CRLF, code absent de Sarge. 450a464,465 > CVE-2007-1862 > apache2 : la copie incorrecte des données d'en-tête de tous les niveaux peut permettre à des attaquants distants d'obtenir des informations potentiellement sensibles, paquet trop ancien dans Sarge. 458a474,475 > CVE-2007-2797 > xterm : une mauvaise configuration des droits d'appartenances permet à des utilisateurs locaux d'écrire dans les terminaux d'autres utilisateurs, les configurations de compilation empêchent ceci dans Sarge. 462a480,483 > CVE-2007-3102 > openssh : Une vulnérabilité non spécifiée permet à des attaquants distants d'écrire des caractères quelconques dans un fichier de log d'audit, ce problème est spécifique à Red Hat / Fedora. > CVE-2007-3380 > linux-2.6 : Le gestionnaire de verroux distribués (DLM) permet à des attaquants distants d'effectuer un déni de service, code absent de Sarge. 465c486 < dans la fonctionnalité wallclock, les version de Debian ne sont pas --- > dans la fonctionnalité wallclock, les versions de Debian ne sont pas 468a490,515 > CVE-2007-3852 > sysstat : le script d'initialisation permet aux utilisateurs locaux d'exécuter du code arbitraire, ce script n'est pas utilisé dans Sarge. > CVE-2007-4138 > samba : usurpation de droits dans certaines configurations, code absent de Sarge. > CVE-2007-4543 > bugzilla : vulnérabilité des scripts intersites (XSS) permettant à des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Sarge. > CVE-2007-4995 > openssl : une vulnérabilité de type "décalage-de-un" permet à des attaquants distants d'exécuter du code quelconque, code absent de Sarge. > CVE-2007-4996 > gaim : cette vulnérabilité permet à des attaquants distants d'effectuer un déni de service (crash) via un message "nudge", code absent de Sarge. > CVE-2007-5266 > libpng: une vulnérabilité de type "décalage-de-un" permet à des attaquants distants d'effectuer un déni de service (crash) via une image PNG spécialement formée, code absent de Sarge. > CVE-2007-5267 > libpng : une vulnérabilité de type "décalage-de-un" permet à des attaquants distants d'effectuer un déni de service (crash) via une image PNG spécialement formée, code absent de Sarge. > CVE-2007-5268 > libpng : cette vulnérabilité peut permettre à des attaquants distants d'effectuer un deni de service (crash) via une image PNG spécialement formée, code absent de Sarge. > CVE-2007-5751 > lifererea : utilisateurs locaux pouvant obtenir des accès supplémentaires, code absent de Sarge. > CVE-2007-5795 > emacs21 : la fonction hack-local-variables dans Emacs permet à des attaquants assistés par un utilisateur de contourner des restrictions prévues et de modifier des variables critiques du programme, code absent de Sarge. > CVE-2007-5939 > Heimdal : La fonction gss_userok permet à des attaquants distants d'avoir un impact indéterminé via un nom d'utilisateur invalide, code absent de Sarge. > CVE-2007-5977 > phpmyadmin : vulnérabilité des scripts intersites (XSS) permettant à des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Sarge. > CVE-2007-6110 > htdig : vulnérabilité des scripts intersites (XSS) permettant à des attaquants distants d'injecter des scripts web ou du code HTML, code absent de Sarge.
=================================================================== RCS file: /cvs/webwml/webwml/english/security/nonvulns-sarge.src,v retrieving revision 1.68 retrieving revision 1.84 diff -u -r1.68 -r1.84 --- webwml/english/security/nonvulns-sarge.src 2007/07/17 17:43:42 1.68 +++ webwml/english/security/nonvulns-sarge.src 2007/12/16 14:46:47 1.84 @@ -166,9 +166,9 @@ CAN-2005-0182 mod_dosevasive: Insecure temporary file, package not part of sarge. CAN-2005-0183 - Squirrelmail: Arbitrary command execution in Vacation plugin, not part of sarge. + squirrelmail: Arbitrary command execution in Vacation plugin, not part of sarge. CAN-2005-0184 - Squirrelmail: Directory traversal vulnerability in Vacation plugin, not part of sarge. + squirrelmail: Directory traversal vulnerability in Vacation plugin, not part of sarge. CAN-2005-0206 xpdf: Patch for CAN-2004-0888 was not 64bit clean, the Debian patch was. CAN-2005-0219 @@ -182,7 +182,7 @@ CAN-2005-0230 Firefox: Placing insecure executable files on the desktop, DOS-specific. CAN-2005-0239 - Squirrelmail: Arbitrary command execution in S/MIME plugin, not part of sarge. + squirrelmail: Arbitrary command execution in S/MIME plugin, not part of sarge. CAN-2005-0427 webmin: Root password included in package, only applies to Gentoo. CAN-2005-0459 @@ -218,6 +218,8 @@ CAN-2005-1824 BID13763 mailutils: Integer overflow, already fixed in sarge. +CVE-2005-1924 + squirrelmail: The G/PGP (GPG) plugin allows remote authenticated users to execute arbitrary commands, external squirrelmail plugin not packaged in Debian. CAN-2005-1944 xmysqladmin: Symlink vulnerability, package not part of sarge. CAN-2005-2792 @@ -395,6 +397,8 @@ mysql: Denial of service, user error. CVE-2006-4146 gdb: Arbitrary code execution, arbitrary code is executed anyway. +CVE-2006-4169 + squirrelmail: Multiple directory traversal vulnerabilities in G/PGP (GPG) plugin allow remote authenticated users to execute arbitrary local files, external squirrelmail plugin not packaged in Debian. CVE-2006-4227 BID19559 mysql: Privilege escalation, code too old in sarge. @@ -408,6 +412,8 @@ avahi-common: Missing sender identification, package not part of sarge. CVE-2006-5705 wordpress: Multiple directory traversal vulnerabilities, package not part of sarge. +CVE-2006-5974 + fetchmail: Allows remote attackers to cause a denial of service (crash), code not present in sarge. CVE-2006-6105 gdm: Execution of arbitrary code via format string vulnarability, code not present in sarge. CVE-2006-6302 @@ -440,12 +446,22 @@ libgd: Arbitrary code execution by context-dependent attackers, fixed already in libgd2 as shipped by Debian. CVE-2007-1002 evolution: User-assisted remote code execution, code not present in sarge. +CVE-2007-1378 + php4: Possibility for context dependent attackers to write to arbitrary memory locations, Ovrimus extension not included in sarge. +CVE-2007-1379 + php4: Possibility for context dependent attackers to execute arbitrary code, Ovrimus extension not included in sarge. CVE-2007-1253 blender: User-assisted remote execution of arbitrary Python code, package too old in sarge. +CVE-2007-1463 + ipsec-tools: The isakmp_info_recv function allows attackers to cause a denial of service, fixed by a coincidentally code change in sarge. CVE-2007-1560 squid: Remote denial of service via crafted TRACE requests, code not present in sarge. +CVE-2007-1718 + php4: CRLF injection vulnerability possibly allowing spam attacks, code not present in sarge. CVE-2007-1856 cron: Local denial of service, Debian uses proper permission scheme. +CVE-2007-1862 + apache2: Incorrect copy of all levels of header data which could allow remote attackers to obtain potentially sensitive information, package too old in sarge. CVE-2007-2026 file: Denial of service by context dependent attackers, package too old in sarge. CVE-2007-2241 @@ -455,9 +471,41 @@ Bug#424729 VU#684664 libpng: tRNS chunk denial of service, no code injection possible. +CVE-2007-2797 + xterm: Wrong ownership settings allow local users to write to other users' terminals, compile-time settings prevent this in Debian. CVE-2007-2844 php: Race condition on multi-threaded systems allows remote attackers to gain system access, not a supported configuration on Debian. +CVE-2007-3102 + openssh: Unspecified vulnerability allows remote attackers to write arbitrary characters to an audit log, this issue is specific to Red Hat / Fedora. +CVE-2007-3380 + linux-2.6: The Distributed Lock Manager (DLM) allows remote attackers to cause a denial of service, code not present in sarge. CVE-2007-3410 helix-player: Remote denial of service and possible code execution in wallclock functionality, Debian versions not affected. CVE-2007-3508 glibc: hwcaps integer overflow, bug not exploitable. +CVE-2007-3852 + sysstat: The init script allows local users to execute arbitrary code, vulnerable init script not shipped. +CVE-2007-4138 + samba: Local privilege escalation in certain configurations, code not present in sarge. +CVE-2007-4543 + bugzilla: Cross-site scripting (XSS) vulnerability allows remote attackers to inject arbitrary web script or HTML, code not present in sarge. +CVE-2007-4995 + openssl: Off-by-one error allows remote attackers to execute arbitrary code, code not present in sarge. +CVE-2007-4996 + gaim: Allows remote attackers to cause a denial of service (crash) via a nudge message, code not present in sarge. +CVE-2007-5266 + libpng: Off-by-one error allows remote attacker to cause a denial of service (crash) via a crafted PNG image, code not present in sarge. +CVE-2007-5267 + libpng: Off-by-one error allows remote attacker to cause a denial of service (crash) via a crafted PNG image, code not present in sarge. +CVE-2007-5268 + libpng: Might allow remote attackers to cause a denial of service (crash) via a crafted PNG image, code not present in sarge. +CVE-2007-5751 + lifererea: Local users may obtain credentials, code not present in sarge. +CVE-2007-5795 + emacs21: The hack-local-variables function in Emacs allows user-assisted attackers to bypass intended restrictions and modify critical program variables, code not present in sarge. +CVE-2007-5939 + Heimdal: The gss_userok function allows remote attackers to have an unknown impact via an invalid username, code not present in sarge. +CVE-2007-5977 + phpmyadmin: Cross-site scripting (XSS) vulnerability allows certain remote authenticated users to inject arbitrary web script or HTML, code not present in sarge. +CVE-2007-6110 + htdig: Cross-site scripting (XSS) vulnerability allows remote attackers to inject arbitrary web script or HTML, code not present in sarge.