-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> On a signalé l'existence d'une situation de concurrence dans libnss-ldap, un module NSS pour utiliser LDAP comme service de noms. Cela peut causer des attaques par déni de service si des applications utilisent des pthreads. </p> <p> Ce problème a été soulevé dans le serveur IMAP/POP dovecot mais affecte potentiellement d'autres programmes. </p> <p> Dans l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 238-1sarge1. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 251-7.5etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 256-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet libnss-ldap. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1430.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Chaîne de formatage</define-tag> <define-tag moreinfo> <p> On a découvert que ruby-gnome2, les liaisons Gnome pour le langage Ruby, ne vérifiait pas suffisamment les entrées avant la construction des boîtes de dialogue. Cela peut permettre l'exécution de code arbitraire si des données non fiables sont affichées dans une boîte de dialogue. </p> <p> Dans l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.12.0-2sarge1. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.15.0-1.1etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.16.0-10. </p> <p> Nous vous recommandons de mettre à jour votre paquet ruby-gnome2. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1431.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Alin Rad Pop a découvert que link-grammar, l'analyseur de grammaire par liens<!-- ? link grammar --> pour l'anglais de l'université de Carnegie Mellon, ne réalisait pas de validation suffisante dans son générateur de jetons. Cela peut permettre à un fichier d'entrée malveillant d'exécuter du code arbitraire. </p> <p> Dans l'ancienne distribution stable (<em>Sarge</em>), ce paquet n'est pas présent. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 4.2.2-4etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 4.2.5-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet link-grammar. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1432.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans centericq, un client de messagerie instantanée multiprotocole en mode texte. Cela peut permettre à un attaquant distant d'exécuter du code arbitraire à cause de vérifications insuffisantes de limites. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 4.20.0-1sarge5. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 4.21.0-18etch1. </p> <p> Nous vous recommandons de mettre à jour votre paquet centericq. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1433.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> On a découvert que dans MyDNS, un serveur de noms de domaine avec un dorsal de base de données, le démon pouvait être planté <i>via</i> des requêtes de mise à jour distante malveillantes. Cela peut conduire à un déni de service. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1:1.1.0-7etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.1.0-8. </p> <p> Nous vous recommandons de mettre à jour vos paquets mydns. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1434.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans la boîte à outils
antivirus Clam. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6335";>CVE-2007-6335</a>
<p>
On a découvert qu'un débordement d'entier dans le code décompression des
archives MEW pouvait conduire à l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6336";>CVE-2007-6336</a>
<p>
On a découvert qu'un décalage dans le code de décompression de MS-ZIP
pouvait conduire à l'exécution de codes arbitraire.
</p>
</li>
</ul>
<p>
L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée par ces
problèmes. Cependant, comme la version de clamav de <em>Sarge</em> ne peut plus
traiter toutes les signatures Clam actuelles des programmes malveillants, la
gestion de ClamAV dans <em>Sarge</em>est abandonnée. Nous vous recommandons de
faire une mise à jour vers la distribution stable ou d'utiliser un rétroportage
de la version stable.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 0.90.1-3etch8.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes seront corrigés
prochainement.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets clamav.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1435.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales ont été découvertes dans le noyau Linux. Elles
peuvent conduire à un déni de service ou à l'exécution de code arbitraire. Le
projet des expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6058";>CVE-2006-6058</a>
<p>
LMH a signalé un problème dans le système de fichiers minix. Cela permet à
un utilisateur local avec des droits de montage de créer un déni de service
(inondation de printk) en montant un système corrompu conçu spécialement.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5966";>CVE-2007-5966</a>
<p>
Warren Togami a découvert un problème dans le sous-système hrtimer. Cela
permet à un utilisateur local de causer un déni de service (verrouillage
logiciel) en demandant une pause pour une longue période qui engendre un
débordement d'entier.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6063";>CVE-2007-6063</a>
<p>
Venustech AD-LAB a découvert un débordement de mémoire tampon dans la
gestion de contrôle d'entrées et sorties d'isdn. Cela est exploitable par
un utilisateur local.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6206";>CVE-2007-6206</a>
<p>
Blake Frantz a découvert que lorsqu'un fichier de copie de mémoire détenu
par un utilisateur standard existait et, qu'un processus du
superutilisateur copiait de la mémoire dedans, le fichier conservait son
détenteur initial. Cela peut être utilisé par un utilisateur local pour
obtenir l'accès à des informations sensibles.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6417";>CVE-2007-6417</a>
<p>
Hugh Dickins a découvert un problème dans le système de fichiers tmpfs où,
dans de rares circonstances, une page du noyau pouvait être effacée de
manière incorrecte, laissant fuir de la mémoire sensible du noyau dans
l'espace utilisateur ou entraînant un déni de service (plantage).
</p>
</li>
</ul>
<p>
Ces problèmes ont été corrigés dans la distribution stable dans la
version 2.6.18.dfsg.1-13etch6.
</p>
<p>
Le tableau suivant liste les paquets supplémentaires qui ont été reconstruits à
des fins de compatibilité ou pour tirer parti de cette mise à jour :
</p>
<div class="centerdiv"><table cellspacing="0" cellpadding="2">
<tr><th> </th> <th>Debian 4.0 (<em>Etch</em>)</th></tr>
<tr><td>fai-kernels</td> <td>1.17+etch.13etch6</td></tr>
<tr><td>user-mode-linux</td> <td>2.6.18-1um-2etch.13etch6</td></tr>
</table></div>
<p>
Nous vous recommandons de mettre à jour votre paquet de noyau immédiatement et
de redémarrer la machine. Si vous avez construit un noyau personnalisé avec le
paquet des sources du noyau, vous devez le reconstruire pour tirer parti de ces
corrections.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1436.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans le système commun
d'impression Unix. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5849";>CVE-2007-5849</a>
<p>
Wei Wang a découvert qu'un débordement de mémoire tampon dans le dorsal
SNMP pouvait conduire à l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6358";>CVE-2007-6358</a>
<p>
Elias Pipping a découvert qu'une gestion peu sûre d'un fichier temporaire
dans le script pdftops.pl pouvait conduire à un déni de service local.
Cette vulnérabilité n'est pas exploitable dans la configuration par défaut.
</p>
</li>
</ul>
<p>
L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée par <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5849";>\
CVE-2007-5849</a>. Les autres problèmes ne garantissent pas une mise à jour et
celle-ci a été repoussée.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.2.7-4etch2.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.3.5-1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets cupsys.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1437.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans GNU Tar. Le projet
des expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4131";>CVE-2007-4131</a>
<p>
Une vulnérabilité par traversée de répertoires permet à un attaquant
d'utiliser des archives conçues spécialement pour extraire du contenu hors
de l'arborescence créée par tar.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4476";>CVE-2007-4476</a>
<p>
Un débordement de mémoire tampon basé sur la pile dans le code de
vérification des noms de fichiers peut conduire à l'exécution de code
arbitraire lors du traitement d'archives conçues de manière malveillante.
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 1.14-2.4.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.16-2etch1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.18-2.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet tar.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2007/dsa-1438.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Vérifications d'entrées manquantes</define-tag> <define-tag moreinfo> <p> Henning Pingel a découvert que TYPO3, un environnement de gestion de contenu sur la Toile, ne réalisait pas de vérification suffisante des entrées. Cela le rend vulnérable à des injections de code SQL par des utilisateurs connectés au dorsal. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet typo3-src. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problÚme a été corrigé dans la version 4.0.2+debian-4. </p> <p> Pour la distribution instable (<em>Sid</em>) et la distribution de test (<em>Lenny</em>), ce problÚme a été corrigé dans la version 4.1.5-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets typo3-src. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1439.data"
Attachment:
signature.asc
Description: Digital signature