-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Alin Rad Pop a découvert plusieurs débordements de mémoire tampon dans la bibliothèque PDF Poppler. Cela peut permettre l'exécution de code arbitraire si un fichier PDF mal formé est ouvert. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contientpas de paquet poppler. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 0.4.5-5.1etch2. </p> <p> Nous vous recommandons de mettre à jour vos paquets poppler. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1480.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Vérification d'entrées manquante</define-tag> <define-tag moreinfo> <p> On a découvert qu'une vulnérabilité par traversée de répertoire dans CherryPy, un environnement de développement web orienté objet en Python, pouvait conduire à un déni de service par l'effacement de fichiers <i>via</i> des identifiants de session malveillants dans les <i>cookies</i>. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) de contient pas de paquet python-cherrypy. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.2.1-3etch1. </p> <p> Nous vous recommandons de mettre à jour vos paquets python-cherrypy. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1481.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert que des réponses de mise à jour mal formées du cache du mandataire web Squid pouvaient conduire à l'épuisement de la mémoire du système engendrant un possible déni de service. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), la mise à jour ne peut pas être traitée actuellement sur le réseau de sécurité des démons de construction à cause d'un bogue dans les scripts de gestion des archives. Cela sera résolu prochainement. Une mise à jour pour l'architecture i386 est disponible temporairement à <url "http://people.debian.org/~jmm/squid/"; />. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.6.5-6etch1. </p> <p> Nous vous recommandons de mettre à jour vos paquets squid. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1482.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de conception</define-tag> <define-tag moreinfo> <p> L'agent SNMP (snmp_agent.c) dans les versions de net-snmp antérieures à 5.4.1 permet à un attaquant distant de causer un déni de service (consommation de ressources du microprocesseur et de la mémoire) par l'intermédiaire d'une requête GETBULK avec une grande valeur de max-repeaters. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 5.2.3-7etch2. </p> <p> Pour les distributions instable et de test (<em>Sid</em> et <em>Lenny</em> respectivement), ce problème a été corrigé dans la version 5.4.1~dfsg-2. </p> <p> Nous vous recommandons de mettre à jour votre paquet net-snmp. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1483.data"
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans Xulrunner, un
environnement d'exécution pour les applications Xul. Le projet des expositions
et vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0412";>CVE-2008-0412</a>
<p>
Jesse Ruderman, Kai Engert, Martijn Wargers, Mats Palmgren et Paul
Nickerson ont découvert des plantages dans le moteur de rendu. Cela
pourrait permettre l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0413";>CVE-2008-0413</a>
<p>
Carsten Book, Wesley Garland, Igor Bukanov, <q>moz_bug_r_a4</q>,
<q>shutdown</q>, Philip Taylor et <q>tgirmann</q> ont découvert des
plantages dans le moteur JavaScript. Cela pourrait permettre l'exécution de
code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0414";>CVE-2008-0414</a>
<p>
<q>hong</q> et Gregory Fleischer ont découvert que des vulnérabilités de
l'élément actif de saisie du fichier dans le contrôleur de téléchargement
des fichiers pouvaient conduire à divulguer des informations sur des
fichiers locaux.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0415";>CVE-2008-0415</a>
<p>
<q>moz_bug_r_a4</q> et Boris Zbarsky ont découvert plusieurs vulnérabilités
dans la gestion de JavaScript. Cela peut permettre une augmentation des
droits.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0417";>CVE-2008-0417</a>
<p>
Justin Dolske a découvert qu'il était possible de tromper le mécanisme de
stockage des mots de passe avec des sites malveillants afin de corrompre
les mots de passe sauvegardés.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0418";>CVE-2008-0418</a>
<p>
Gerry Eisenhaur et <q>moz_bug_r_a4</q> ont découvert qu'une vulnérabilité
par traversée de répertoires dans la gestion des ressources chromes:
pouvait conduire à divulguer des informations.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0419";>CVE-2008-0419</a>
<p>
David Bloom a découvert une situation de concurrence dans la gestion des
images des éléments designMode. Cela peut conduire à divulguer des
informations ou peut-être à exécuter du code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0591";>CVE-2008-0591</a>
<p>
Michal Zalewski a découvert que des minuteurs protégeant des boîtes de
dialogues sensibles au niveau de la sécurité (ils désactivent des éléments
des boîtes jusqu'à l'expiration d'un délai) pouvaient être contournés par
des modifications des fenêtres actives <i>via</i> du JavaScript.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0592";>CVE-2008-0592</a>
<p>
On a découvert que des déclarations de contenu mal formées pour les pièces
jointes sauvegardées pouvaient empêcher un utilisateur d'ouvrir des
fichiers locaux avec un nom <tt>.txt</tt>, engendrant un déni de service
mineur.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0593";>CVE-2008-0593</a>
<p>
Martin Straka a découvert que la gestion peu sûre des feuilles de style
pendant les redirections pouvait conduire à divulguer des informations.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0594";>CVE-2008-0594</a>
<p>
Emil Ljungdahl et Lars-Olof Moilanen ont découvert que des protections
contre le hameçonnage pouvaient être contournées par des éléments
<div>.
</p>
</li>
</ul>
<p>
L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet
xulrunner.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.8.0.15~pre080131b-0etch1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets xulrunner.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1484.data"
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans le client de
courriels Icedove, une version en marque blanche du client Thunderbird. Le
projet des expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0412";>CVE-2008-0412</a>
<p>
Jesse Ruderman, Kai Engert, Martijn Wargers, Mats Palmgren et Paul
Nickerson ont découvert des plantages dans le moteur de rendu. Cela
pourrait permettre l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0413";>CVE-2008-0413</a>
<p>
Carsten Book, Wesley Garland, Igor Bukanov, <q>moz_bug_r_a4</q>,
<q>shutdown</q>, Philip Taylor et <q>tgirmann</q> ont découvert des
plantages dans le moteur JavaScript. Cela pourrait permettre l'exécution de
code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0415";>CVE-2008-0415</a>
<p>
<q>moz_bug_r_a4</q> et Boris Zbarsky ont découvert plusieurs vulnérabilités
dans la gestion de JavaScript. Cela peut permettre une augmentation des
droits.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0418";>CVE-2008-0418</a>
<p>
Gerry Eisenhaur et <q>moz_bug_r_a4</q> ont découvert qu'une vulnérabilité
par traversée de répertoires dans la gestion des ressources chromes:
pouvait conduire à divulguer des informations.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0419";>CVE-2008-0419</a>
<p>
David Bloom a découvert une situation de concurrence dans la gestion des
images des éléments designMode. Cela peut conduire à divulguer des
informations ou peut-être à exécuter du code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0591";>CVE-2008-0591</a>
<p>
Michal Zalewski a découvert que des minuteurs protégeant des boîtes de
dialogues sensibles au niveau de la sécurité (ils désactivent des éléments
des boîtes jusqu'à l'expiration d'un délai) pouvaient être contournés par
des modifications des fenêtres actives <i>via</i> du JavaScript.
</p>
</li>
</ul>
<p>
Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution
stable (<em>Sarge</em>) ne sont plus fournies.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.5.0.13+1.5.0.15b.dfsg1-0etch2.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets icedove.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1485.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Script intersite</define-tag> <define-tag moreinfo> <p> <q>r0t</q> a découvert que gnatsweb, une interface web à GNU GNATS, ne réalisait pas de vérification correcte des paramètres de base de données dans le script CGI principal. Cela peut permettre l'injection de HTML ou de code JavaScript. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 4.00-1etch1. </p> <p> Nous vous recommandons de mettre à jour votre paquet gnatsweb. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1486.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans le code d'analyse des données
EXIF de la bibliothèque libexif. Cela peut conduire à un déni de service ou à
l'exécution de code arbitraire si on peut faire ouvrir une image mal formée à
un utilisateur. Le projet des expositions et vulnérabilités communes (CVE)
identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2645";>CVE-2007-2645</a>
<p>
Victor Stinner a découvert un débordememnt d'entier. Cela peut entrainer un
déni de service ou peut-être l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6351";>CVE-2007-6351</a>
<p>
Meder Kydyraliev a découvert une boucle sans fin. Cela peut entrainer un
déni de service.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6352";>CVE-2007-6352</a>
<p>
Victor Stinner a découvert un débordememnt d'entier. Cela peut entrainer un
déni de service ou peut-être l'exécution de code arbitraire.
</p>
</li>
</ul>
<p>
Cette mise à jour corrige également deux déréférencements potetiels de
pointeurs vides.
</p>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 0.6.9-6sarge2.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 0.6.13-5etch2.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets libexif.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1487.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans phpBB, un
babillard basé sur la Toile. Le projet des expositions et vulnérabilités
communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0471";>CVE-2008-0471</a>
<p>
La messagerie privée permet la falsification de requêtes intersites rendant
possible la suppression de tous les messages privés d'un utilisateur en les
envoyant vers une page conçue spécialement.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6841";>CVE-2006-6841</a> /
<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6508";>CVE-2006-6508</a>
<p>
La falsification de requêtes intersites permet à un attaquant de réaliser
diverses actions au nom d'un utilisateur connecté (ne s'applique qu'à
<em>Sarge</em>).
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6840";>CVE-2006-6840</a>
<p>
Un paramètre de démarrage négatif permet à un attaquant de créer des
sorties invalides (ne s'applique qu'à <em>Sarge</em>).
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6839";>CVE-2006-6839</a>
<p>
Les cibles de redirection ne sont pas complètement vérifiées, laissant le
champ libre à des redirections externes non autorisées <i>via</i> un forum
phpBB (ne s'applique qu'à <em>Sarge</em>).
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4758";>CVE-2006-4758</a>
<p>
Un administrateur de forum authentifié peut télécharger des fichiers de
n'importe quel type en utilisant des noms de fichiers conçues spécialement
(ne s'applique qu'à <em>Sarge</em>).
</p>
</li>
</ul>
<p>
Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version 2.0.13+1-6sarge4.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.0.21-7.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.0.22-3.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet phpbb2.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1488.data"
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités à distance ont été découvertes dans le navigateur
Iceweasel, une version en marque blanche du navigateur Firefox. Le projet des
expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0412";>CVE-2008-0412</a>
<p>
Jesse Ruderman, Kai Engert, Martijn Wargers, Mats Palmgren et Paul
Nickerson ont découvert des plantages dans le moteur de rendu. Cela
pourrait permettre l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0413";>CVE-2008-0413</a>
<p>
Carsten Book, Wesley Garland, Igor Bukanov, <q>moz_bug_r_a4</q>,
<q>shutdown</q>, Philip Taylor et <q>tgirmann</q> ont découvert des
plantages dans le moteur JavaScript. Cela pourrait permettre l'exécution de
code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0414";>CVE-2008-0414</a>
<p>
<q>hong</q> et Gregory Fleischer ont découvert que des vulnérabilités de
l'élément actif de saisie du fichier dans le contrôleur de téléchargement
des fichiers pouvaient conduire à divulguer des informations sur des
fichiers locaux.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0415";>CVE-2008-0415</a>
<p>
<q>moz_bug_r_a4</q> et Boris Zbarsky ont découvert plusieurs vulnérabilités
dans la gestion de JavaScript. Cela peut permettre une augmentation des
droits.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0417";>CVE-2008-0417</a>
<p>
Justin Dolske a découvert qu'il était possible de tromper le mécanisme de
stockage des mots de passe avec des sites malveillants afin de corrompre
les mots de passe sauvegardés.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0418";>CVE-2008-0418</a>
<p>
Gerry Eisenhaur et <q>moz_bug_r_a4</q> ont découvert qu'une vulnérabilité
par traversée de répertoires dans la gestion des ressources chromes:
pouvait conduire à divulguer des informations.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0419";>CVE-2008-0419</a>
<p>
David Bloom a découvert une situation de concurrence dans la gestion des
images des éléments designMode. Cela peut conduire à divulguer des
informations ou peut-être à exécuter du code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0591";>CVE-2008-0591</a>
<p>
Michal Zalewski a découvert que des minuteurs protégeant des boîtes de
dialogues sensibles au niveau de la sécurité (ils désactivent des éléments
des boîtes jusqu'à l'expiration d'un délai) pouvaient être contournés par
des modifications des fenêtres actives <i>via</i> du JavaScript.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0592";>CVE-2008-0592</a>
<p>
On a découvert que des déclarations de contenu mal formées pour les pièces
jointes sauvegardées pouvaient empêcher un utilisateur d'ouvrir des
fichiers locaux avec un nom <tt>.txt</tt>, engendrant un déni de service
mineur.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0593";>CVE-2008-0593</a>
<p>
Martin Straka a découvert que la gestion peu sûre des feuilles de style
pendant les redirections pouvait conduire à divulguer des informations.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0594";>CVE-2008-0594</a>
<p>
Emil Ljungdahl et Lars-Olof Moilanen ont découvert que des protections
contre le hameçonnage pouvaient être contournées par des éléments
<div>.
</p>
</li>
</ul>
<p>
Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution
stable (<em>Sarge</em>) ne sont plus fournies.
</p>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.0.0.12-0etch1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets iceweasel.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1489.data"
Attachment:
signature.asc
Description: Digital signature