[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[rfr] wml://security/2008/dsa-147{0,1,2,3,4,5,6,7,8,9}.wml



-- 
  .~.    Nicolas Bertolissio
  /V\    nico.bertol@free.fr
 // \\
/(   )\
 ^`~'^  Debian GNU/Linux
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"

<define-tag description>Vérifications d'entrées insuffisantes</define-tag>
<define-tag moreinfo>

<p>
Ulf Härnhammer a découvert que le filtre HTML de l'environnement d'application
sur la Toile Horde ne réalisait pas de vérifications suffisantes des entrées.
Cela peut conduire à l'effacement de courriels si on peut forcer un utilisateur
à regarder un courriel mal formé dans le client Imp.
</p>

<p>
Cette mise à jour fournit également des rétroportages de correctifs du filtre
de scripts intersites et de l'interface de programmation d'applications de
gestion des utilisateurs venant de la dernière version&nbsp;3.1.6 de Horde.
</p>

<p>
L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée. Une mise à
jour vers <em>Etch</em> est cependant recommandée.
</p>

<p>
Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la
version&nbsp;3.1.3-4etch2.
</p>

<p>
Nous vous recommandons de mettre à jour votre paquet horde3.
</p>

</define-tag>

# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1470.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"

<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>

<p>
Plusieurs vulnérabilités ont été trouvées dans le codec de compression audio
général Vorbis. Cela peut conduire à un déni de service ou à l'exécution de
code arbitraire si on peut forcer un utilisateur à ouvrir un fichier audio Ogg
mal formé avec une application liée à libvorbis.
</p>

<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version&nbsp;1.1.0-2.
</p>

<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version&nbsp;1.1.2.dfsg-1.3.
</p>

<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version&nbsp;1.2.0.dfsg-1.
</p>

<p>
Nous vous recommandons de mettre à jour vos paquets libvorbis.
</p>

</define-tag>

# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1471.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"

<define-tag description>Débordement de mémoire tampon</define-tag>
<define-tag moreinfo>

<p>
Luigi Auriemma a découvert que la bibliothèque de lecture multimédia Xine ne
réalisait pas de vérification suffisante des entrées pendant la gestion des
flux RTSP. Cela peut conduire à l'exécution de code arbitraire.
</p>

<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé
dans la version&nbsp;1.0.1-1sarge6.
</p>

<p>
Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la
version&nbsp;1.1.2+dfsg-5.
</p>

<p>
Pour la distribution de test (<em>Lenny</em>), ce problème a été corrigé dans
la version&nbsp;1.1.8-3+lenny1.
</p>

<p>
Pour la distribution stable (<em>Etch</em>), ce problème sera corrigé
prochainement.
</p>

<p>
Nous vous recommandons de mettre à jour vos paquets xine-lib.
</p>

</define-tag>

# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1472.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"

<define-tag description>Défaut de conception</define-tag>
<define-tag moreinfo>

<p>
Joachim Breitner a découvert que la gestion de Subversion dans scponly était
peu sûre de par son concept. Cela permet l'exécution de commandes arbitraires.
De plus amples recherches ont montré que les gestions de rsync et d'Unison
souffraient de problèmes similaires. Cet ensemble de problèmes est référencé
sous <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6350";>\
CVE-2007-6350</a>.
</p>

<p>
De plus, on a découvert qu'il était possible d'invoquer scp avec certains
arguments qui pouvaient conduire à l'exécution de commandes arbitraires (<a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6415";>\
CVE-2007-6415</a>).
</p>

<p>
Cette mise à jour supprime la gestion de Subversion, rsync et Unison du paquet
scponly et empêche l'invocation de scp avec des arguments dangereux.
</p>

<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé
dans la version&nbsp;4.0-1sarge2.
</p>

<p>
Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la
version&nbsp;4.6-1etch1.
</p>

<p>
Pour la distribution stable (<em>Etch</em>), ce problème sera corrigé
prochainement.
</p>

<p>
Nous vous recommandons de mettre à jour votre paquet scponly.
</p>

</define-tag>

# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1473.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"

<define-tag description>Débordement d'entier</define-tag>
<define-tag moreinfo>

<p>
Meder Kydyraliev a découvert un débordement d'entier dans la gestion des
miniatures par libexif, la bibliothèque de manipulation des métadonnées
EXIF/IPTC. Cela peut conduire à l'exécution de code arbitraire.
</p>

<p>
L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet
exiv2.
</p>

<p>
Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la
version&nbsp;0.10-1.5.
</p>

<p>
Nous vous recommandons de mettre à jour vos paquets exiv2.
</p>

</define-tag>

# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1474.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"

<define-tag description>Vérifications d'entrées manquantes</define-tag>
<define-tag moreinfo>

<p>
José Ramón Palanco a découvert qu'une vulnérabilité de scripts intersites dans
GForge, un outil de développement collaboratif, permettait à un attaquant
distant d'injecter un script arbitraire ou du HTML dans le contexte d'une
session d'utilisateur connecté.
</p>

<p>
L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée.
</p>

<p>
Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la
version&nbsp;4.5.14-22etch5.
</p>

<p>
Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la
version&nbsp;4.6.99+svn6347-1.
</p>

<p>
Nous vous recommandons de mettre à jour votre paquet gforge.
</p>

</define-tag>

# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1475.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"

<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>

<p>
Marcus Meissner a découvert que le serveur de musique PulseAudio ne réalisait
pas de vérification suffisante lors de l'abandon de droits. Cela peut conduire
à une augmentation locale des droits.
</p>

<p>
L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet
pulseaudio.
</p>

<p>
Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la
version&nbsp;0.9.5-5etch1.
</p>

<p>
Nous vous recommandons de mettre à jour vos paquets pulseaudio.
</p>

</define-tag>

# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1476.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"

<define-tag description>Vérifications d'entrées manquantes</define-tag>
<define-tag moreinfo>

<p>
Duncan Gilmore a découvert qu'yarssr, un rassembleur et lecteur de flux de
nouvelles, ne réalisait pas de vérification suffisante des entrées. Cela peut
conduire à l'exécution de commandes de shell arbitraires si un contenu mal
formé est lu.
</p>

<p>
À cause de limitations techniques des scripts de gestion des archives, le
correctif pour l'ancienne distribution stable (<em>Sarge</em>) doit être
repoussé de quelques jours.
</p>

<p>
Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la
version&nbsp;0.2.2-1etch1.
</p>

<p>
Nous vous recommandons de mettre à jour vos paquets yarssr.
</p>

</define-tag>

# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1477.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"

<define-tag description>Débordements de mémoire tampon</define-tag>
<define-tag moreinfo>

<p>
Luigi Auriemma a découvert deux débordements de mémoire tampon dans YaSSL, une
implantation de SSL dans le paquet de bases de données MySQL. Cela peut
conduire à un déni de service et peut-être à l'exécution de code arbitraire.
</p>

<p>
L'ancienne distribution stable (<em>Sarge</em>) de contient pas de paquet
mysql-dfsg-5.0.
</p>

<p>
Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la
version&nbsp;5.0.32-7etch5.
</p>

<p>
Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la
version&nbsp;5.0.51-3.
</p>

<p>
Nous vous recommandons de mettre à jour votre paquet mysql-dfsg-5.0.
</p>

</define-tag>

# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1478.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"

<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>

<p>
Plusieurs vulnérabilités locales ont été découvertes dans le noyau Linux. Elles
peuvent conduire à un déni de service ou à l'exécution de code arbitraire. Le
projet des expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants&nbsp;:
</p>

<ul>
  <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2878";>CVE-2007-2878</a>
    <p>
    Bart Oldeman a signalé un problème de déni de service dans le système de
    fichiers VFAT. Cela permet à un utilisateur local de corrompre une
    structure du noyau entraînant un plantage. Ce n'est un problème que pour
    les systèmes qui utilisent l'interface de contrôle d'entrées et de sorties
    de compatibilité VFAT, tels que les systèmes utilisant une version
    <q>amd64</q> du noyau.
    </p>
  </li>
  <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4571";>CVE-2007-4571</a>
    <p>
    Takashi Iwai a fourni un correctif pour une fuite de mémoire dans le module
    snd_page_alloc. Un utilisateur local peut exploiter ce problème pour
    obtenir des informations sensibles du noyau.
    </p>
  </li>
  <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6151";>CVE-2007-6151</a>
    <p>
    ADLAB a découvert un possible dépassement de mémoire dans le sous-système
    ISDN. Cela permettrait à un utilisateur local d'écraser de la mémoire du
    noyau entraînant par la suite des contrôles d'entrées et de sorties avec
    des données indéterminées.
    </p>
  </li>
  <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0001";>CVE-2008-0001</a>
    <p>
    Bill Roman de Datalight a remarqué une erreur de codage dans le
    sous-système VFS Linux. Cela peut permettre, dans certaines conditions, à
    un utilisateur local de supprimer des répertoires qu'il ne devrait pas
    avoir le droit de supprimer.
    </p>
  </li> 
</ul>

<p>
Ces problèmes ont été corrigés dans la distribution stable dans la
version&nbsp;2.6.18.dfsg.1-17etch1.
</p>

<p>
Nous vous recommandons de mettre à jour votre paquet de noyau immédiatement et
de redémarrer la machine. Si vous avez construit un noyau personnalisé avec le
paquet des sources du noyau, vous devez le reconstruire pour tirer parti de ces
corrections.
</p>

</define-tag>

# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1479.data"

Attachment: signature.asc
Description: Digital signature


Reply to: