-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un programme
d'administration de MySQL sur la Toile. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1325";>CVE-2007-1325</a>
<p>
La fonction PMA_ArrayWalkRecursive dans libraries/common.lib.php ne limite
pas la récursion sur les tableaux fournis par les utilisateurs, cela
permet à des attaquants dépendant du contexte de générer un déni de service
(plantage du serveur web) par l'intermédiaire d'un tableau avec de
nombreuses dimensions.
</p>
<p>
Ce problème n'affecte que la distribution stable (<em>Etch</em>).
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1395";>CVE-2007-1395</a>
<p>
Une vulnérabilité de liste noire incomplète dans index.php permet à des
attaquants distants de mener des attaques intersites en injectant du HTML
ou du JavaScript arbitraire dans une valeur de paramètre de (1) db ou (2)
table suivie d'une étiquette fermante </SCRIPT> en majuscule, ce qui
contourne la protection contre </script> en minuscules.
</p>
<p>
Ce problème n'affecte que la distribution stable (<em>Etch</em>).
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2245";>CVE-2007-2245</a>
<p>
Plusieurs vulnérabilités de script intersite permettent à des attaquants
distants d'injecter du HTML ou un script web quelconque par l'intermédiaire
(1) du paramètre fieldkey de browse_foreigners.php ou (2) de certaines
entrées à la fonction PMA_sanitize.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6942";>CVE-2006-6942</a>
<p>
Plusieurs vulnérabilités de script intersite permettent à des attaquants
distants d'injecter du HTML ou un script web arbitraire par l'intermédiaire
(1) d'un commentaire d'un nom de table, comme exploité <i>via</i> (a)
db_operations.php, (2) du paramètre db de (b) db_create.php, (3) du
paramètre newname de db_operations.php, des paramètres (4)
query_history_latest, (5) query_history_latest_db, et (6) querydisplay_tab
de (c) querywindow.php, et (7) du paramètre pos de (d) sql.php.
</p>
<p>
Ce problème n'affecte que l'ancienne distribution stable (<em>Sarge</em>).
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6944";>CVE-2006-6944</a>
<p>
phpMyAdmin permet à des attaquants distants de contourner les règles
d'accès Allow/Deny qui utilisent les adresses IP par l'intermédiaire de
faux en-têtes.
</p>
<p>
Ce problème n'affecte que l'ancienne distribution stable (<em>Sarge</em>).
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 2.6.2-3sarge5.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.9.1.1-4.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.10.1-1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets phpmyadmin.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1370.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans phpWiki, un moteur de wiki
écrit en PHP. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2024";>CVE-2007-2024</a>
<p>
On a découvert que phpWiki de réalisait pas de validation suffisante des
noms de fichiers, cela permet le téléchargement de fichiers sans
restriction.
</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2025";>CVE-2007-2025</a>
<p>
On a découvert que phpWiki de réalisait pas de validation suffisante des
noms de fichiers, cela permet le téléchargement de fichiers sans
restriction.
</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3193";>CVE-2007-3193</a>
<p>
Si PASSWORD_LENGTH_MINIMUM manque avec une valeur non nulle dans la
configuration, phpWiki peut permettre à des attaquants distants de
contourner l'authentification par l'intermédiaire d'un mot de passe vide,
cela fait retourner une valeur vraie à ldap_bind lorsqu'il est utilisé avec
certaines implantations de LDAP.
</p></li>
</ul>
<p>
L'ancienne distribution stable (<em>Sarge</em>)ne contient pas des paquets
phpwiki.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.3.12p3-5etch1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.3.12p3-6.1.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet phpwiki.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1371.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Aaron Plattner a découvert un débordement de mémoire tampon dans l'extension Composite du serveur X.org, cela permet de conduire à l'augmentation locale de privilèges. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée par ce problème. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.1.1-21etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour vos paquets xorg-server. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1372.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Traversée de répertoire</define-tag> <define-tag moreinfo> <p> On a découvert que ktorrent, un client BitTorrent pour KDE, était vulnérable à un bogue de traversée de répertoire, cela permet potentiellement à des utilisateurs distants d'écraser des fichiers arbitraires. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas ce paquet. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.0.3+dfsg1-2etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.2.1.dfsg.1-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet ktorrent. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1373.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans jffnms, un système de gestion
de réseau basé sur la Toile pour les réseaux IP. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3189";>CVE-2007-3189</a>
<p>
Une vulnérabilité de script intersite dans auth.php permet à un attaquant
distant d'injecter du HTML ou un script web arbitraire par l'intermédiaire
du paramètre user.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3190";>CVE-2007-3190</a>
<p>
Plusieurs vulnérabilités d'injection de code SQL dans auth.php permettent à
des attaquants distants d'exécuter des commandes SQL arbitraires par
l'intermédiaire des paramètres user et password.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3192";>CVE-2007-3192</a>
<p>
Des requêtes directes d'URL rendent possible l'accès à des informations de
configuration par des attaquants distants en contournant les restrictions
d'identification.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 0.8.3dfsg.1-2.1etch1
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 0.8.3dfsg.1-4.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet jffnms.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1374.data"
Attachment:
signature.asc
Description: Digital signature