-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> On a découvert que lighttpd, un serveur pour la Toile rapide avec une empreinte mémoire minimale, de gérait pas correctement les erreurs SSL. Cela peut permettre à un attaquant distant de déconnecter toutes les connexions SSL actives. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.4.13-4etch7. </p> <p> Nous vous recommandons de mettre à jour votre paquet lighttpd. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1540.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans Open LDAP, une implantation libre du protocole d'accès aux répertoires léger. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5707">CVE-2007-5707</a> <p> Thomas Sesselmann a découvert que slapd pouvait être planté par des requêtes <em>modify</em> mal formées. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5708">CVE-2007-5708</a> <p> Toby Blade a découvert qu'une gestion incorrecte de la mémoire dans slapo-pcache pouvait conduire à un déni de service <i>via</i> des requêtes <em>search</em> conçues spécialement. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6698">CVE-2007-6698</a> <p> On a découvert qu'une erreur de programmation dans l'interface du dorsal de stockage BDB pouvait conduire à un déni de service <i>via</i> des requêtes <em>modify</em> conçues spécialement. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0658">CVE-2008-0658</a> <p> On a découvert qu'une erreur de programmation dans l'interface du dorsal de stockage BDB pouvait conduire à un déni de service <i>via</i> des requêtes <em>modrdn</em> conçues spécialement. </p> </li> </ul> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 2.3.30-5+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 2.4.7-6.1. </p> <p> Nous vous recommandons de mettre à jour vos paquets openldap2.3. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1541.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement d'entier</define-tag> <define-tag moreinfo> <p> Peter Valchev (de la sécurité de Google) a découvert une série de faiblesses par débordement d'entiers dans Cairo, une bibliothèque de rendu de graphiques vectoriels utilisée par de nombreuses applications. Si une application utilise Cairo pour dessiner une image PNG conçue de manière malveillante, cette vulnérabilité permet l'exécution de code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.2.4-4.1+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.4.10-1.1. </p> <p> Nous vous recommandons de mettre à jour votre paquet libcairo. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1542.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Luigi Auriemma, Alin Rad Pop, Rémi Denis-Courmont, Quovodis, Guido Landi, Felipe Manzano, Anibal Sacco et d'autres ont découvert plusieurs vulnérabilités dans vlc, une application de lecture et de diffusion de flux audio et vidéo. Dans le pire des cas, ces faiblesses permettent à un attaquant distant non authentifié d'exécuter du code arbitraire avec les droits de l'utilisateur de vlc. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6681">CVE-2007-6681</a> <p> Une vulnérabilité par débordement de mémoire tampon dans la gestion des sous-titres permet à un attaquant d'exécuter un code arbitraire <i>via</i> l'ouverture d'un fichier MicroDVD, SSA ou Vplayer conçu de manière malveillante. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6682">CVE-2007-6682</a> <p> Une vulnérabilité par chaîne de formatage dans les capacité de contrôle à distance par HTTP de l'application vlc permet à un attaquant distant non authentifié d'exécuté du code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6683">CVE-2007-6683</a> <p> La mauvaise validation d'arguments permet à un attaquant distant d'écraser des fichiers arbitraires dans lesquels l'utilisateur de vlc peut écrire si une liste de lecture M3U ou un fichier audio MP3 conçu de manière malveillante est ouvert. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0295">CVE-2008-0295</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0296">CVE-2008-0296</a> <p> Des débordements de mémoire tampon du système dans la gestion du protocole de description de session (SDP) et de flux RTSP permet à un attaquant d'exécuter du code arbitraire si un fluc RTSP conçu de manière malveillant est lu. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0073">CVE-2008-0073</a> <p> Une vérification de limite d'entier insuffisante dans la gestion SDP permet l'exécution de code arbitraire <i>via</i> un paramètre ID de flux SDP dans un flux RTSP conçu de manière malveillante </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0984">CVE-2008-0984</a> <p> Une validation insuffisante d'intégrité dans le démultiplexeur MP4 permet à un attaquant distant d'écraser des blocs de mémoire arbitraire et d'exécuter du code arbitraire si un fichier MP4 conçu de manière malveillante est ouvert. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1489">CVE-2008-1489</a> <p> Une vulnérabilité par débordement d'entier dans la gestion MP4 permet à un attaquant distant de causer un débordement de zone de mémoire tampon du système. Cela entraîne un plantage et peut-être l'exécution de code arbitraire si un fichier MP4 conçu de manière malveillante est ouvert. </p> </li> </ul> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 0.8.6-svn20061012.debian-5.1+etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 0.8.6.e-2. </p> <p> Nous vous recommandons de mettre à jour vos paquets vlc. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1543.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Défaut de conception</define-tag> <define-tag moreinfo> <p> Amit Klein a découvert que pdns-recursor, un outil de résolution de cache DNS, utilisait un générateur de nombres aléatoires faible pour créer les identifiants de transactions DNS et les numéros de ports sources UDP. En conséquence, les attaques par empoisonnement du cache sont facilités <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1637">\ CVE-2008-1637</a> et <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3217">\ CVE-2008-3217</a>). </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 3.1.4-1+etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 3.1.7-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet pdns-recursor. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1544.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Débordement d'entier</define-tag> <define-tag moreinfo> <p> Sebastian Krahmer a découvert qu'un débordement d'entier dans le code de rsync pour la gestion des attributs étendus pouvait conduire à l'exécution de code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.6.9-2etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 3.0.2-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet rsync. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1545.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement d'entier</define-tag> <define-tag moreinfo> <p> Thilo Pfennig et Morten Welinder ont découvert plusieurs faiblesses par débordement d'entier dans Gnumric, une application de tableur pour Gnome. Ces vulnérabilités peuvent entraîner l'exécution de code arbitraire <i>via</i> l'ouverture d'une feuille de calculs Excel conçue spécialement. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.6.3-5+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.8.1-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet gnumeric. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1546.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs problèmes liés à la sécurité ont été découverts dans OpenOffice.org, la suite de bureautique libre. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5745">CVE-2007-5745</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5747">CVE-2007-5747</a> <p> Plusieurs bogues ont été découverts dans la manière d'OpenOffice.org d'analyser les fichiers Quattro Pro. Cela peut conduire à un débordement dans une zone de mémoire du système qui peut entraîner l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5746">CVE-2007-5746</a> <p> Un fichier EMF conçu spécifiquement peut déclencher un débordement de mémoire tampon dans la zone de mémoire du système. Cela peut entraîner l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0320">CVE-2008-0320</a> <p> Un bogue a été découvert dans le traitement des fichiers OLE. Cela peut causer un débordement de mémoire tampon dans la zone de mémoire du système et peut-être conduire à l'exécution de code arbitraire. </p> </li> </ul> <p> Les problèmes signalés récemment dans la bibliothèque ICU sont corrigés dans des paquets libicu distincts par le <a href="dsa-1511">bulletin de sécurité Debian n° 1511</a>, bibliothèque à laquelle OpenOffice.org est liée. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 1.1.3-9sarge9. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 2.0.4.dfsg.2-7etch5. </p> <p> Pour les distributions de test (<em>Lenny</em>) et instable(<em>Sid</em>), ces problèmes ont été corrigés dans la version 2.4.0~ooh680m5-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets openoffice.org. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1547.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Kees Cook a découvert une vulnérabilité dans xpdf, un ensemble d'outils pour afficher et convertir des fichiers au format de documents portable (PDF). Le projet des expositions et vulnérabilités communes (CVE) identifie le problème suivant : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1693">CVE-2008-1693</a> <p> La gestion par xpdf des polices de caractères embarquées manque de validation suffisante et de vérification de type. Si un fichier PDF conçu de manière malicieuse est ouvert, cette vulnérabilité peut permettre l'exécution de code arbitraire avec les privilèges de l'utilisateur de xpdf. </p> </li> </ul> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 3.01-9.1+etch4. </p> <p> Pour la distribution instable(<em>Sid</em>), ces problèmes ont été corrigés dans la version 3.02-1.2. </p> <p> Nous vous recommandons de mettre à jour votre paquet xpdf. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1548.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Débordements d'entiers</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans la boîte à outils antivirus Clam. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0314">CVE-2008-0314</a> <p> Damian Put a découvert qu'un débordement d'entier dans le gestionnaire des binaires PeSpin pouvait conduire à l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1100">CVE-2008-1100</a> <p> Alin Rad Pop a découvert qu'un débordement d'entier dans le gestionnaire des binaires Upack PE pouvait conduire à l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1833">CVE-2008-1833</a> <p> Damian Put et Thomas Pollet ont découvert qu'un débordement d'entier dans le gestionnaire des binaires compressés avec WWPack pouvait conduire à l'exécution de code arbitraire. </p> </li> </ul> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 0.90.1dfsg-3etch11. </p> <p> Pour la distribution instable(<em>Sid</em>), ces problèmes ont été corrigés dans la version 0.92.1~dfsg2-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets clamav. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1549.data"
Attachment:
signature.asc
Description: Digital signature