-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Validation d'entrée manquante</define-tag> <define-tag moreinfo> <p> <q>The-0utl4w</q> a découvert que Kronolith, un composant de calendrier pour l'environnement Horde, ne réalisait de validation suffisante des entrées. Cela conduit à une vulnérabilité par script intersite dans l'écran d'ajout d'événements. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.1.4-1etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.1.8-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet kronolith2. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1560.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>
Christian Herzog a découvert que dans le <i>Linux Terminal Server Project</i>
il était possible de se connecter à X depuis n'importe quel client LTSP sur
tout hôte du réseau. Cela rend les fenêtres du client et ses frappes clavier
visible sur cet hôte.
</p>
<p>
Note : La plupart des installations devraient être dans un environnement
fermé d'exécution exporté sur NFS et ne seront pas mises à jour simplement par
la mise à jour de serveur lui-même. Par exemple, sur l'architecture i 386, pour
mettre à jour ldm il faut exécuter :
</p>
<pre> chroot /opt/ltsp/i386 apt-get update
chroot /opt/ltsp/i386 apt-get dist-upgrade</pre>
<p>
Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la
version 0.99debian11+etch1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la
version 2:0.1~bzr20080308-1.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet ldm.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1561.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert que des plantages dans le moteur de JavaScript d'Iceape, une version en marque blanche de la suite internet Seamonkey, pouvait conduire à l'exécution de code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.0.13~pre080323b-0etch3. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.1.9-2. </p> <p> Nous vous recommandons de mettre à jour vos paquets iceape. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1562.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Joel R. Voss a découvert que le module IAX2 d'Asterisk, un PBX logiciel et une boîte à outils de téléphonie libres, ne réalisait pas de validation suffisante des messages du protocole IAX2. Cela peut conduire à un déni de service. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.2.13~dfsg-2etch4. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.4.19.1~dfsg-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets asterisk. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1563.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans wordpress, un
gestionnaire de journal sur la Toile. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3639";>CVE-2007-3639</a>
<p>
Une validation insuffisante des entrées permet à un attaquant de
rediriger les visiteurs vers des sites externes.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4153";>CVE-2007-4153</a>
<p>
Plusieurs vulnérabilités par script intersite permettent à un
administrateur distant authentifié d'injecter un script arbitraire ou du
HTML.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4154";>CVE-2007-4154</a>
<p>
Une vulnérabilité par injection de code SQL permet à un administrateur
distant authentifié d'exécuter des commandes SQL arbitraires.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0540";>CVE-2007-0540</a>
<p>
WordPress permet à un attaquant distant de générer un déni de service (par
consommation de la bande passante ou des processus) par l'intermédiaire
d'appels au service pingback<!-- si quelqu un a une idée de traduction...
--> avec une URI source qui correspond à un
fichier de type de contenu binaire. Celui-ci est téléchargé même s'il ne
peut pas contenir de données pingback utilisables.
</p>
</li>
<li>[pas encore de référence CVE]
<p>
Une validation d'entrée insuffisante permet à un attaquant disposant d'un
compte d'utilisateur standard d'accéder à l'interface d'administration.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.0.10-1etch2.
</p>
<p>
Pour la distribution instable(<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.2.3-1.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet wordpress.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1564.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales ont été découvertes dans le noyau Linux. Cela
peut conduire à un déni de service ou à l'exécution de code arbitraire. Le
projet des expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6694";>CVE-2007-6694</a>
<p>
Cyrill Gorcunov a signalé le déréférencement d'un pointer NULL dans le code
spécifique aux plates-formes PowerPC CHRP. Un utilisateur local peut
exploiter ce problème pour arriver à un déni de service.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0007";>CVE-2008-0007</a>
<p>
Nick Piggin de SuSE a découvert un certain nombre de problèmes dans les
sous-systèmes qui enregistrent un gestionnaire de défauts pour les zones de
mémoire<!-- memory mapped areas-->. Ce problème peut être exploité par un
utilisateur local pour arriver à un déni de service et peut-être exécuter
du code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1294";>CVE-2008-1294</a>
<p>
David Peer a découvert qu'un utilisateur pouvait échapper aux limitation de
temps de disponibilité de calcul imposée par l'administrateur (RLIMIT_CPU)
en paramétrant une limite à 0.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1375";>CVE-2008-1375</a>
<p>
Alexander Viro a découvert une situation de concurrence dans le
sous-système de notification de répertoire. Cela permet à un utilisateur
local de générer un déni de service (hoquet) et peut-être d'augmenter ses
droits d'accès.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.6.18.dfsg.1-18etch3.
</p>
<p>
Pour les distributions de test (<em>Lenny</em>) et instable(<em>Sid</em>), ces
problèmes seront corrigés prochainement.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets linux-2.6, fai-kernels et
user-mode-linux.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1565.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Dmitry Levin a découvert une vulnérabilité dans le code de gestion des chemins utilisé par l'utilitaire d'archivage cpio. Cette faiblesse permet un déni de service (plantage) ou l'exécution de code arbitraire si une version vulnérable de cpio est utilisée pour extraire ou pour lister le contenu d'une archive conçue de manière malveillante. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.6-18.1+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.9-5. </p> <p> Nous vous recommandons de mettre à jour vos paquets cpio. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1566.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Stefan Cornelius a découvert une vulnérabilité dans l'analyseur de radiance d'image à dynamique étendue dans blender, une application de modélisation en 3D. Cette faiblesse permet un débordement de mémoire tampon basé sur la pile et l'exécution de code arbitraire si un fichier HDR conçu de manière malveillante est ouvert ou si on navigue dans un répertoire contenant un tel fichier avec la boîte de dialogue d'ouverture de fichiers de blender. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.42a-7.1+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.45-5. </p> <p> Nous vous recommandons de mettre à jour vos paquets blender. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1567.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Vérification d'entrée manquante</define-tag> <define-tag moreinfo> <p> <q>unsticky</q> a découvert que b2evolution, un moteur de journal sur la Toile, de réalisait pas de vérification suffisante des entrées. Cela permet une attaque par script intersite. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.9.2-3+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.9.2-4. </p> <p> Nous vous recommandons de mettre à jour votre paquet b2evolution. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1568.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Vérification d'entrée manquante</define-tag> <define-tag moreinfo> <p> On a découvert que Cacti, un frontal de surveillance des systèmes et des services, ne réalisait pas de validation suffisante des entrées. Cela conduit à de possibles attaques par script intersite et par injection de code SQL. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.8.6i-3.4. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.8.7b-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet cacti. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1569.data"
Attachment:
signature.asc
Description: Digital signature