-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Une vulnérabilité de débordement de zone de mémoire a été découverte dans le code d'analyse du format TIFF de la suite OpenOffice.org. L'analyseur utilise des valeurs non sûres venant d'un fichier TIFF pour calculer la quantité de mémoire à allouer. Une image TIFF conçue spécialement peut déclencher un débordement d'entier puis, en conséquence, un débordement de mémoire tampon qui peut causer l'exécution de code arbitraire. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.1.3-9sarge8. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.0.4.dfsg.2-7etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.2.1-9. </p> <p> Pour la distribution expérimentale, ce problème a été corrigé dans la version 2.3.0~src680m224-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets openoffice.org. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1375.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> iKees Huijgen a découvert que dans certaines circonstances il est possible d'abuser de KDM, un gestionnaire de sessions X pour KDE, pour lui faire accepter des identifiants d'utilidateurs sans mot de passe. </p> <p> Ce problème n'est pas présent dans l'ancienne distribution stable (<em>Sarge</em>). </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 4:3.5.5a.dfsg.1-6etch1. </p> <p> Nous vous recommandons de mettre à jour votre paquet kdebase. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1376.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Déréférencement d'un pointeur null</define-tag> <define-tag moreinfo> <p> Matthias Andree a découvert que fetchmail, un récupérateur de courriels pour les protocoles POP3, APOP et IMAP avec possibilité SSL, pouvait dans certaines circonstances essayer de déréférencer un pointeur NULL et planter. </p> <p> Ce problème n'est pas présent dans l'ancienne distribution stable (<em>Sarge</em>). </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 6.3.6-1etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour votre paquet fetchmail. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1377.data"
#use wml::debian::translation-check translation="1.7" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales et à distance ont été découvertes dans le
noyau Linux ; elles peuvent conduire à un déni de service ou à l'exécution
de code arbitraire. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3731";>CVE-2007-3731</a>
<p>
Evan Teran a découvert un possible déni de service local (oups) dans la
gestion des requêtes PTRACE_SETREGS et PTRACE_SINGLESTEP.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3739";>CVE-2007-3739</a>
<p>
Adam Litke a signalé un possible déni de service local (oups) sur les
plates-formes powerpc résultant de la non-vérification de l'expansion VMA
dans des adresses réservées aux pages hugetlb.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3740";>CVE-2007-3740</a>
<p>
Steve French a signalé que le système de fichiers CIFS avec l'option
CAP_UNIX activée n'honorait pas un umask de processus ce qui conduire à
réduire les permissions de manière non intentionnelle.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4573";>CVE-2007-4573</a>
<p>
Wojciech Purczynski a découvert une vulnérabilité qui peut être exploitée
par un utilisateur local pour obtenir les privilèges de superutilisateur
sur les systèmes x86_64. Cela résulte d'un mauvais nettoyage des bits de
poids fort des registres pendant l'émulation d'un appel système ia32. Cette
vulnérabilité concerne le portage Debian sur l'architecture amd64 ainsi que
les utilisateurs du portage sur l'architecture i386 qui utilisent la
version amd64 du paquet linux-image.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4849";>CVE-2007-4849</a>
<p>
Michael Stone a signalé une problème avec le système de fichiers JFFS2. Les
anciens modes pour les inodes qui ont été créés avec la gestion des ACL
Posix activée n'étaient pas écrit sur le média, ce qui engendre des
permissions incorrectes lors de remontage.
</p>
</li>
</ul>
<p>
Ces problèmes ont été corrigés dans la distribution stable dans la
version 2.6.18.dfsg.1-13etch3.
</p>
<p>
Cette annonce a été mise à jour pour ajouter une construction pour
l'architecture arm qui n'était pas encore disponible lors de la publication de
l'annonse de sécurité DSA-1378-1.
</p>
<p>
Le tableau suivant liste les paquets supplémentaires qui ont été reconstruits à
des fins de compatibilité ou pour tirer parti de cette mise à jour :
</p>
<div class="centerdiv"><table cellspacing="0" cellpadding="2">
<tr><th> </th> <th>Debian 4.0 (<em>Etch</em>)</th></tr>
<tr><td>fai-kernels</td> <td>1.17+etch.13etch3</td></tr>
<tr><td>user-mode-linux</td> <td>2.6.18-1um-2etch.13etch3</td></tr>
</table></div>
<p>
Nous vous recommandons de mettre à jour votre paquet de noyau immédiatement et
de redémarrer la machine. Si vous avez construit un noyau personnalisé avec le
paquet des sources du noyau, vous devez le reconstruire pour tirer parti de ces
corrections.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1378.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de décalage, débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Une erreur de décalage a été identifiée dans la routine SSL_get_shared_ciphers() de la bibliothèque libssl de OpenSSL, une implantation des utilitaires et des bibliothèques de chiffrement Secure Socket Layer. Cette erreur peut permettre à une attaquant de faire planter une application en utilisant la bibliothèque libssl d'OpenSSL, ou peut-être d'exécuteur du code arbitraire dans de contexte de sécurité de l'utilisateur faisant fonctionner une telle application. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.9.7e-3sarge5. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.9.8c-4etch1. </p> <p> Pour les distributions instable (<em>Sid</em>) et de teste (<em>Lenny</em>), ce problème a été corrigé dans la version 0.9.8e-9. </p> <p> Nous vous recommandons de mettre à jour vos paquets openssl. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1379.data"
Attachment:
signature.asc
Description: Digital signature