-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans Ruby, un langage de scripts
orienté objet. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5162";>CVE-2007-5162</a>
<p>
On a découvert que le module HTTP(S) de Ruby ne validait pas suffisamment
les certificats SSL. Cela peut conduire à des attaques par l'homme du
milieu.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5770";>CVE-2007-5770</a>
<p>
On a découvert que les modules pour FTP, Telnet, IMAP, POP et SMTP de Ruby
ne validaient pas suffisamment les certificats SSL. Cela peut conduire à
des attaques par l'homme du milieu.
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 1.8.2-7sarge6. Les paquets pour l'architecture
sparc seront fournis ultérieurement.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.8.5-4etch1. Les paquets pour l'architecture sparc seront
fournis ultérieurement.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets ruby1.8.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1410.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans Ruby, un langage de scripts
orienté objet. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5162";>CVE-2007-5162</a>
<p>
On a découvert que le module HTTP(S) de Ruby ne validait pas suffisamment
les certificats SSL. Cela peut conduire à des attaques par l'homme du
milieu.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5770";>CVE-2007-5770</a>
<p>
On a découvert que les modules pour FTP, Telnet, IMAP, POP et SMTP de Ruby
ne validaient pas suffisamment les certificats SSL. Cela peut conduire à
des attaques par l'homme du milieu.
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 0.1.4a-1sarge1. Les paquets pour l'architecture
sparc seront fournis ultérieurement.
</p>
<p>
La distribution stable (<em>Etch</em>) ne contient plus le paquet
libopenssl-ruby.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets libopenssl-ruby.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1411.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans Ruby, un langage de scripts
orienté objet. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5162";>CVE-2007-5162</a>
<p>
On a découvert que le module HTTP(S) de Ruby ne validait pas suffisamment
les certificats SSL. Cela peut conduire à des attaques par l'homme du
milieu.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5770";>CVE-2007-5770</a>
<p>
On a découvert que les modules pour FTP, Telnet, IMAP, POP et SMTP de Ruby
ne validaient pas suffisamment les certificats SSL. Cela peut conduire à
des attaques par l'homme du milieu.
</p>
</li>
</ul>
<p>
L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquets
ruby1.9.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.9.0+20060609-1etch1. Les paquets pour les architectures
hppa et sparc seront fournis ultérieurement.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets ruby1.9.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1412.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans les paquets de la base de
données MySQL. Elles ont des implications allant de modifications non
autorisées aux base de données à des plantages du serveur déclenchés à
distance. Le projet des expositions et vulnérabilités communes (CVE) identifie
les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2583";>CVE-2007-2583</a>
<p>
La fonction in_decimal::set de item_cmpfunc.cc dans les versions de MySQL
antérieures à la 5.0.40 permet à des attaquants dépendant du contexte
de générer un déni de service (plantage) par l'intermédiaire d'une clause
IF conçue spécialement qui engendre une erreur de division par zéro et le
déréférencement d'un pointeur vide (affecte la version
source 5.0.32).
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2691";>CVE-2007-2691</a>
<p>
MySQL ne demande pas le droit DROP pour les instructions RENAME TABLE.
Cela permet à des utilisateurs authentifiés à distance de renommer des
tables arbitraires (toutes les versions gérées sont affectées).
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2692";>CVE-2007-2692</a>
<p>
La fonction mysql_change_db ne restaure pas les droits THD::db_access en
revenant des routines stockées SQL SECURITY INVOKER. Cela permet à des
utilisateurs authentifiés à distance d'augmenter leurs droits (affecte la
version source&nsbp;5.0.32)
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3780";>CVE-2007-3780</a>
<p>
On peut faire déborder un caractère signé à MySQL pendant
l'authentification. Des attaquants distants peuvent utiliser des demandes
d'authentification conçues spécialement pour engendrer un déni de service
(les versions des sources amont 4.1.11a et 5.0.32 sont affectées).
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3782";>CVE-2007-3782</a>
<p>
Phil Anderton a découvert que MySQL ne vérifiait pas correctement les
droits d'accès lors de l'accès à des tables externes. En conséquence, des
utilisateurs authentifiés peuvent utiliser cela pour obtenir des droits
UPDATE sur des tables externes (affection la version sources 5.0.32).
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5925";>CVE-2007-5925</a>
<p>
La fonction convert_search_mode_to_innobase de ha_innodb.cc dans le moteur
InnoDB des versions 5.1.23-BK et antérieures de MySQL permet à des
utilisateurs distants d'engendrer un déni de service (plantage de la base
de données) par l'intermédiaire de certaines opérations CONTAINS sur une
colonne indexées. Cela peut déclencher une d'erreur d'assertion (affecte la
version source 5.0.32).
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 4.0.24-10sarge3 des paquets mysql-dfsg et la
version 4.1.11a-4sarge8 des paquets mysql-dfsg-4.1.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 5.0.32-7etch3 des paquets mysql-dfsg-5.0.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets mysql.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1413.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans l'analyseur de trafic réseau
Wireshark. Cela peut conduire à un déni de service ou à l'exécution de code
arbitraire. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6114";>CVE-2007-6114</a>
<p>
Stefan Esser a découvert un débordement de mémoire tampon dans les
dissecteur SSL. <q>Fabiodds</q> a découvert un débordement de mémoire
tampon dans le dissecteur de traces iSeries.
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6117";>CVE-2007-6117</a>
<p>
Une erreur de programmation a été découverte dans le dissecteur HTTP. Cela
peut conduire à un déni de service.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6118";>CVE-2007-6118</a>
<p>
Il est possible de tromper le dissecteur MEGACO et lui faire épuiser les
ressources.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6120";>CVE-2007-6120</a>
<p>
Il est possible de tromper le dissecteur SDP Bluetooth et le fairie entrer
dans une boucle infinie.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6121";>CVE-2007-6121</a>
<p>
Il est possible de tromper le dissecteur portmap RPC et lui faire
déréférencer un pointeur vide.
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 0.10.10-2sarge10. Dans <em>Sarge</em> Wireshark
s'appelait Ethereal. Les paquets mis à jour pour les architectures sparc et
m68k seront fournis ultérieurement.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 0.99.4-5.etch.1. Les paquets mis à jour pour
l'architecture sparc seront fournis ultérieurement.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets wireshark et ethereal.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1414.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> On a découvert que Tk, une boîte à outils graphique multi-plate-forme pour Tcl, ne réalisait pas de validation suffisante des entrées dans le code utilisé pour charger les images GIF. Cela peut conduire à l'exécution de code arbitraire. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 8.4.9-1sarge1. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 8.4.12-1etch1. </p> <p> Nous vous recommandons de mettre à jour vos paquets tk8.4. Les paquets mis à jours pour l'architecture sparc seront fournis ultérieurement. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1415.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> On a découvert que Tk, une boîte à outils graphique multi-plate-forme pour Tcl, ne réalisait pas de validation suffisante des entrées dans le code utilisé pour charger les images GIF. Cela peut conduire à l'exécution de code arbitraire. </p> <p> À cause de limitations techniques des scripts des archives Debian, la mise à jour pour l'ancienne distribution stable (<em>Sarge</em>) ne peut pas être publiées en même temps que celle pour la distriibution stable. Elle sera fournie dans les prochains jours. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 8.3.5-6etch1. </p> <p> Nous vous recommandons de mettre à jour vos paquets tk8.3. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1416.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Vérifications d'entrées manquantes</define-tag> <define-tag moreinfo> <p> Tilghman Lesher a découvert que le moteur de journalisation d'Asterisk, une boîte à outils libre de PBX et de téléphonie, ne vérifiait pas suffisamment les données liées aux appels. Cela peut conduire à des injections de code SQL. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1:1.0.7.dfsg.1-2sarge6. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1:1.2.13~dfsg-2etch2. Les paquets mis à jour pour l'architecture ia64 seront fournis ultérieurement. </p> <p> Nous vous recommandons de mettre à jour vos paquets asterisk. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1417.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Vérifications d'entrées manquantes</define-tag> <define-tag moreinfo> <p> On a découvert que Cacti, un outil pour surveiller les systèmes et les réseaux, de réalisait pas de vérification suffisante des entrées. Cela permet l'injection de code SQL. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.8.6c-7sarge5. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.8.6i-3.2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.8.7a-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets cacti. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1418.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Une vulnérabilité a été découverte dans HSQLDB, le moteur de bases de données par défaut fourni avec OpenOffice.org. Cela peut conduire à l'exécution de code Java arbitraire embarqué dans un document de bases de données OpenOffice.org vers les droits de l'utilisateur. Cette mise à jour requiert la mise à jour à la fois d'openoffice.org et de hsqldb. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée par ce problème. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.0.4.dfsg.2-7etch4 d'OpenOffice.org et la version 1.8.0.7-1etch1 de hsqldb. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.3.1-1 d'OpenOffice.org et la version 1.8.0.9-2 de hsqldb. </p> <p> Pour la distribution expérimentale, ce problème a été corrigé dans la version 2.3.1~rc1-1 d'OpenOffice.org et la version 1.8.0.9-1 de hsqldb. </p> <p> Nous vous recommandons de mettre à jour vos paquets OpenOffice.org et hsqldb. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1419.data"
Attachment:
signature.asc
Description: Digital signature