-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Une vulnérabilité de débordement de zone de mémoire a été découverte dans le code d'analyse du format TIFF de la suite OpenOffice.org. L'analyseur utilise des valeurs non sûres venant d'un fichier TIFF pour calculer la quantité de mémoire à allouer. Une image TIFF conçue spécialement peut déclencher un débordement d'entier puis, en conséquence, un débordement de mémoire tampon qui peut causer l'exécution de code arbitraire. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.1.3-9sarge8. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.0.4.dfsg.2-7etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.2.1-9. </p> <p> Pour la distribution expérimentale, ce problème a été corrigé dans la version 2.3.0~src680m224-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets openoffice.org. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1375.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> iKees Huijgen a découvert que dans certaines circonstances il est possible d'abuser de KDM, un gestionnaire de sessions X pour KDE, pour lui faire accepter des identifiants d'utilidateurs sans mot de passe. </p> <p> Ce problème n'est pas présent dans l'ancienne distribution stable (<em>Sarge</em>). </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 4:3.5.5a.dfsg.1-6etch1. </p> <p> Nous vous recommandons de mettre à jour votre paquet kdebase. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1376.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Déréférencement d'un pointeur null</define-tag> <define-tag moreinfo> <p> Matthias Andree a découvert que fetchmail, un récupérateur de courriels pour les protocoles POP3, APOP et IMAP avec possibilité SSL, pouvait dans certaines circonstances essayer de déréférencer un pointeur NULL et planter. </p> <p> Ce problème n'est pas présent dans l'ancienne distribution stable (<em>Sarge</em>). </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 6.3.6-1etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour votre paquet fetchmail. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1377.data"
#use wml::debian::translation-check translation="1.7" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités locales et à distance ont été découvertes dans le noyau Linux ; elles peuvent conduire à un déni de service ou à l'exécution de code arbitraire. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3731">CVE-2007-3731</a> <p> Evan Teran a découvert un possible déni de service local (oups) dans la gestion des requêtes PTRACE_SETREGS et PTRACE_SINGLESTEP. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3739">CVE-2007-3739</a> <p> Adam Litke a signalé un possible déni de service local (oups) sur les plates-formes powerpc résultant de la non-vérification de l'expansion VMA dans des adresses réservées aux pages hugetlb. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3740">CVE-2007-3740</a> <p> Steve French a signalé que le système de fichiers CIFS avec l'option CAP_UNIX activée n'honorait pas un umask de processus ce qui conduire à réduire les permissions de manière non intentionnelle. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4573">CVE-2007-4573</a> <p> Wojciech Purczynski a découvert une vulnérabilité qui peut être exploitée par un utilisateur local pour obtenir les privilèges de superutilisateur sur les systèmes x86_64. Cela résulte d'un mauvais nettoyage des bits de poids fort des registres pendant l'émulation d'un appel système ia32. Cette vulnérabilité concerne le portage Debian sur l'architecture amd64 ainsi que les utilisateurs du portage sur l'architecture i386 qui utilisent la version amd64 du paquet linux-image. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4849">CVE-2007-4849</a> <p> Michael Stone a signalé une problème avec le système de fichiers JFFS2. Les anciens modes pour les inodes qui ont été créés avec la gestion des ACL Posix activée n'étaient pas écrit sur le média, ce qui engendre des permissions incorrectes lors de remontage. </p> </li> </ul> <p> Ces problèmes ont été corrigés dans la distribution stable dans la version 2.6.18.dfsg.1-13etch3. </p> <p> Cette annonce a été mise à jour pour ajouter une construction pour l'architecture arm qui n'était pas encore disponible lors de la publication de l'annonse de sécurité DSA-1378-1. </p> <p> Le tableau suivant liste les paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour : </p> <div class="centerdiv"><table cellspacing="0" cellpadding="2"> <tr><th> </th> <th>Debian 4.0 (<em>Etch</em>)</th></tr> <tr><td>fai-kernels</td> <td>1.17+etch.13etch3</td></tr> <tr><td>user-mode-linux</td> <td>2.6.18-1um-2etch.13etch3</td></tr> </table></div> <p> Nous vous recommandons de mettre à jour votre paquet de noyau immédiatement et de redémarrer la machine. Si vous avez construit un noyau personnalisé avec le paquet des sources du noyau, vous devez le reconstruire pour tirer parti de ces corrections. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1378.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de décalage, débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Une erreur de décalage a été identifiée dans la routine SSL_get_shared_ciphers() de la bibliothèque libssl de OpenSSL, une implantation des utilitaires et des bibliothèques de chiffrement Secure Socket Layer. Cette erreur peut permettre à une attaquant de faire planter une application en utilisant la bibliothèque libssl d'OpenSSL, ou peut-être d'exécuteur du code arbitraire dans de contexte de sécurité de l'utilisateur faisant fonctionner une telle application. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.9.7e-3sarge5. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.9.8c-4etch1. </p> <p> Pour les distributions instable (<em>Sid</em>) et de teste (<em>Lenny</em>), ce problème a été corrigé dans la version 0.9.8e-9. </p> <p> Nous vous recommandons de mettre à jour vos paquets openssl. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1379.data"
Attachment:
signature.asc
Description: Digital signature