-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Alin Rad Pop a découvert plusieurs débordements de mémoire tampon dans la bibliothèque PDF Poppler. Cela peut permettre l'exécution de code arbitraire si un fichier PDF mal formé est ouvert. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contientpas de paquet poppler. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 0.4.5-5.1etch2. </p> <p> Nous vous recommandons de mettre à jour vos paquets poppler. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1480.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Vérification d'entrées manquante</define-tag> <define-tag moreinfo> <p> On a découvert qu'une vulnérabilité par traversée de répertoire dans CherryPy, un environnement de développement web orienté objet en Python, pouvait conduire à un déni de service par l'effacement de fichiers <i>via</i> des identifiants de session malveillants dans les <i>cookies</i>. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) de contient pas de paquet python-cherrypy. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.2.1-3etch1. </p> <p> Nous vous recommandons de mettre à jour vos paquets python-cherrypy. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1481.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert que des réponses de mise à jour mal formées du cache du mandataire web Squid pouvaient conduire à l'épuisement de la mémoire du système engendrant un possible déni de service. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), la mise à jour ne peut pas être traitée actuellement sur le réseau de sécurité des démons de construction à cause d'un bogue dans les scripts de gestion des archives. Cela sera résolu prochainement. Une mise à jour pour l'architecture i386 est disponible temporairement à <url "http://people.debian.org/~jmm/squid/" />. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.6.5-6etch1. </p> <p> Nous vous recommandons de mettre à jour vos paquets squid. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1482.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de conception</define-tag> <define-tag moreinfo> <p> L'agent SNMP (snmp_agent.c) dans les versions de net-snmp antérieures à 5.4.1 permet à un attaquant distant de causer un déni de service (consommation de ressources du microprocesseur et de la mémoire) par l'intermédiaire d'une requête GETBULK avec une grande valeur de max-repeaters. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 5.2.3-7etch2. </p> <p> Pour les distributions instable et de test (<em>Sid</em> et <em>Lenny</em> respectivement), ce problème a été corrigé dans la version 5.4.1~dfsg-2. </p> <p> Nous vous recommandons de mettre à jour votre paquet net-snmp. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1483.data"
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans Xulrunner, un environnement d'exécution pour les applications Xul. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0412">CVE-2008-0412</a> <p> Jesse Ruderman, Kai Engert, Martijn Wargers, Mats Palmgren et Paul Nickerson ont découvert des plantages dans le moteur de rendu. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0413">CVE-2008-0413</a> <p> Carsten Book, Wesley Garland, Igor Bukanov, <q>moz_bug_r_a4</q>, <q>shutdown</q>, Philip Taylor et <q>tgirmann</q> ont découvert des plantages dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0414">CVE-2008-0414</a> <p> <q>hong</q> et Gregory Fleischer ont découvert que des vulnérabilités de l'élément actif de saisie du fichier dans le contrôleur de téléchargement des fichiers pouvaient conduire à divulguer des informations sur des fichiers locaux. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0415">CVE-2008-0415</a> <p> <q>moz_bug_r_a4</q> et Boris Zbarsky ont découvert plusieurs vulnérabilités dans la gestion de JavaScript. Cela peut permettre une augmentation des droits. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0417">CVE-2008-0417</a> <p> Justin Dolske a découvert qu'il était possible de tromper le mécanisme de stockage des mots de passe avec des sites malveillants afin de corrompre les mots de passe sauvegardés. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0418">CVE-2008-0418</a> <p> Gerry Eisenhaur et <q>moz_bug_r_a4</q> ont découvert qu'une vulnérabilité par traversée de répertoires dans la gestion des ressources chromes: pouvait conduire à divulguer des informations. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0419">CVE-2008-0419</a> <p> David Bloom a découvert une situation de concurrence dans la gestion des images des éléments designMode. Cela peut conduire à divulguer des informations ou peut-être à exécuter du code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0591">CVE-2008-0591</a> <p> Michal Zalewski a découvert que des minuteurs protégeant des boîtes de dialogues sensibles au niveau de la sécurité (ils désactivent des éléments des boîtes jusqu'à l'expiration d'un délai) pouvaient être contournés par des modifications des fenêtres actives <i>via</i> du JavaScript. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0592">CVE-2008-0592</a> <p> On a découvert que des déclarations de contenu mal formées pour les pièces jointes sauvegardées pouvaient empêcher un utilisateur d'ouvrir des fichiers locaux avec un nom <tt>.txt</tt>, engendrant un déni de service mineur. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0593">CVE-2008-0593</a> <p> Martin Straka a découvert que la gestion peu sûre des feuilles de style pendant les redirections pouvait conduire à divulguer des informations. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0594">CVE-2008-0594</a> <p> Emil Ljungdahl et Lars-Olof Moilanen ont découvert que des protections contre le hameçonnage pouvaient être contournées par des éléments <div>. </p> </li> </ul> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet xulrunner. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 1.8.0.15~pre080131b-0etch1. </p> <p> Nous vous recommandons de mettre à jour vos paquets xulrunner. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1484.data"
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans le client de courriels Icedove, une version en marque blanche du client Thunderbird. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0412">CVE-2008-0412</a> <p> Jesse Ruderman, Kai Engert, Martijn Wargers, Mats Palmgren et Paul Nickerson ont découvert des plantages dans le moteur de rendu. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0413">CVE-2008-0413</a> <p> Carsten Book, Wesley Garland, Igor Bukanov, <q>moz_bug_r_a4</q>, <q>shutdown</q>, Philip Taylor et <q>tgirmann</q> ont découvert des plantages dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0415">CVE-2008-0415</a> <p> <q>moz_bug_r_a4</q> et Boris Zbarsky ont découvert plusieurs vulnérabilités dans la gestion de JavaScript. Cela peut permettre une augmentation des droits. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0418">CVE-2008-0418</a> <p> Gerry Eisenhaur et <q>moz_bug_r_a4</q> ont découvert qu'une vulnérabilité par traversée de répertoires dans la gestion des ressources chromes: pouvait conduire à divulguer des informations. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0419">CVE-2008-0419</a> <p> David Bloom a découvert une situation de concurrence dans la gestion des images des éléments designMode. Cela peut conduire à divulguer des informations ou peut-être à exécuter du code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0591">CVE-2008-0591</a> <p> Michal Zalewski a découvert que des minuteurs protégeant des boîtes de dialogues sensibles au niveau de la sécurité (ils désactivent des éléments des boîtes jusqu'à l'expiration d'un délai) pouvaient être contournés par des modifications des fenêtres actives <i>via</i> du JavaScript. </p> </li> </ul> <p> Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution stable (<em>Sarge</em>) ne sont plus fournies. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 1.5.0.13+1.5.0.15b.dfsg1-0etch2. </p> <p> Nous vous recommandons de mettre à jour vos paquets icedove. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1485.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Script intersite</define-tag> <define-tag moreinfo> <p> <q>r0t</q> a découvert que gnatsweb, une interface web à GNU GNATS, ne réalisait pas de vérification correcte des paramètres de base de données dans le script CGI principal. Cela peut permettre l'injection de HTML ou de code JavaScript. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 4.00-1etch1. </p> <p> Nous vous recommandons de mettre à jour votre paquet gnatsweb. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1486.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans le code d'analyse des données EXIF de la bibliothèque libexif. Cela peut conduire à un déni de service ou à l'exécution de code arbitraire si on peut faire ouvrir une image mal formée à un utilisateur. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2645">CVE-2007-2645</a> <p> Victor Stinner a découvert un débordememnt d'entier. Cela peut entrainer un déni de service ou peut-être l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6351">CVE-2007-6351</a> <p> Meder Kydyraliev a découvert une boucle sans fin. Cela peut entrainer un déni de service. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6352">CVE-2007-6352</a> <p> Victor Stinner a découvert un débordememnt d'entier. Cela peut entrainer un déni de service ou peut-être l'exécution de code arbitraire. </p> </li> </ul> <p> Cette mise à jour corrige également deux déréférencements potetiels de pointeurs vides. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 0.6.9-6sarge2. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 0.6.13-5etch2. </p> <p> Nous vous recommandons de mettre à jour vos paquets libexif. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1487.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans phpBB, un babillard basé sur la Toile. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0471">CVE-2008-0471</a> <p> La messagerie privée permet la falsification de requêtes intersites rendant possible la suppression de tous les messages privés d'un utilisateur en les envoyant vers une page conçue spécialement. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6841">CVE-2006-6841</a> / <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6508">CVE-2006-6508</a> <p> La falsification de requêtes intersites permet à un attaquant de réaliser diverses actions au nom d'un utilisateur connecté (ne s'applique qu'à <em>Sarge</em>). </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6840">CVE-2006-6840</a> <p> Un paramètre de démarrage négatif permet à un attaquant de créer des sorties invalides (ne s'applique qu'à <em>Sarge</em>). </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6839">CVE-2006-6839</a> <p> Les cibles de redirection ne sont pas complètement vérifiées, laissant le champ libre à des redirections externes non autorisées <i>via</i> un forum phpBB (ne s'applique qu'à <em>Sarge</em>). </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4758">CVE-2006-4758</a> <p> Un administrateur de forum authentifié peut télécharger des fichiers de n'importe quel type en utilisant des noms de fichiers conçues spécialement (ne s'applique qu'à <em>Sarge</em>). </p> </li> </ul> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 2.0.13+1-6sarge4. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 2.0.21-7. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 2.0.22-3. </p> <p> Nous vous recommandons de mettre à jour votre paquet phpbb2. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1488.data"
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans le navigateur Iceweasel, une version en marque blanche du navigateur Firefox. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0412">CVE-2008-0412</a> <p> Jesse Ruderman, Kai Engert, Martijn Wargers, Mats Palmgren et Paul Nickerson ont découvert des plantages dans le moteur de rendu. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0413">CVE-2008-0413</a> <p> Carsten Book, Wesley Garland, Igor Bukanov, <q>moz_bug_r_a4</q>, <q>shutdown</q>, Philip Taylor et <q>tgirmann</q> ont découvert des plantages dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0414">CVE-2008-0414</a> <p> <q>hong</q> et Gregory Fleischer ont découvert que des vulnérabilités de l'élément actif de saisie du fichier dans le contrôleur de téléchargement des fichiers pouvaient conduire à divulguer des informations sur des fichiers locaux. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0415">CVE-2008-0415</a> <p> <q>moz_bug_r_a4</q> et Boris Zbarsky ont découvert plusieurs vulnérabilités dans la gestion de JavaScript. Cela peut permettre une augmentation des droits. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0417">CVE-2008-0417</a> <p> Justin Dolske a découvert qu'il était possible de tromper le mécanisme de stockage des mots de passe avec des sites malveillants afin de corrompre les mots de passe sauvegardés. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0418">CVE-2008-0418</a> <p> Gerry Eisenhaur et <q>moz_bug_r_a4</q> ont découvert qu'une vulnérabilité par traversée de répertoires dans la gestion des ressources chromes: pouvait conduire à divulguer des informations. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0419">CVE-2008-0419</a> <p> David Bloom a découvert une situation de concurrence dans la gestion des images des éléments designMode. Cela peut conduire à divulguer des informations ou peut-être à exécuter du code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0591">CVE-2008-0591</a> <p> Michal Zalewski a découvert que des minuteurs protégeant des boîtes de dialogues sensibles au niveau de la sécurité (ils désactivent des éléments des boîtes jusqu'à l'expiration d'un délai) pouvaient être contournés par des modifications des fenêtres actives <i>via</i> du JavaScript. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0592">CVE-2008-0592</a> <p> On a découvert que des déclarations de contenu mal formées pour les pièces jointes sauvegardées pouvaient empêcher un utilisateur d'ouvrir des fichiers locaux avec un nom <tt>.txt</tt>, engendrant un déni de service mineur. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0593">CVE-2008-0593</a> <p> Martin Straka a découvert que la gestion peu sûre des feuilles de style pendant les redirections pouvait conduire à divulguer des informations. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0594">CVE-2008-0594</a> <p> Emil Ljungdahl et Lars-Olof Moilanen ont découvert que des protections contre le hameçonnage pouvaient être contournées par des éléments <div>. </p> </li> </ul> <p> Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution stable (<em>Sarge</em>) ne sont plus fournies. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 2.0.0.12-0etch1. </p> <p> Nous vous recommandons de mettre à jour vos paquets iceweasel. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1489.data"
Attachment:
signature.asc
Description: Digital signature