-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Validation d'entrée manquante</define-tag> <define-tag moreinfo> <p> <q>The-0utl4w</q> a découvert que Kronolith, un composant de calendrier pour l'environnement Horde, ne réalisait de validation suffisante des entrées. Cela conduit à une vulnérabilité par script intersite dans l'écran d'ajout d'événements. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.1.4-1etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.1.8-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet kronolith2. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1560.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Christian Herzog a découvert que dans le <i>Linux Terminal Server Project</i> il était possible de se connecter à X depuis n'importe quel client LTSP sur tout hôte du réseau. Cela rend les fenêtres du client et ses frappes clavier visible sur cet hôte. </p> <p> Note : La plupart des installations devraient être dans un environnement fermé d'exécution exporté sur NFS et ne seront pas mises à jour simplement par la mise à jour de serveur lui-même. Par exemple, sur l'architecture i 386, pour mettre à jour ldm il faut exécuter : </p> <pre> chroot /opt/ltsp/i386 apt-get update chroot /opt/ltsp/i386 apt-get dist-upgrade</pre> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.99debian11+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2:0.1~bzr20080308-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet ldm. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1561.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert que des plantages dans le moteur de JavaScript d'Iceape, une version en marque blanche de la suite internet Seamonkey, pouvait conduire à l'exécution de code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.0.13~pre080323b-0etch3. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.1.9-2. </p> <p> Nous vous recommandons de mettre à jour vos paquets iceape. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1562.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Joel R. Voss a découvert que le module IAX2 d'Asterisk, un PBX logiciel et une boîte à outils de téléphonie libres, ne réalisait pas de validation suffisante des messages du protocole IAX2. Cela peut conduire à un déni de service. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.2.13~dfsg-2etch4. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.4.19.1~dfsg-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets asterisk. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1563.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans wordpress, un gestionnaire de journal sur la Toile. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3639">CVE-2007-3639</a> <p> Une validation insuffisante des entrées permet à un attaquant de rediriger les visiteurs vers des sites externes. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4153">CVE-2007-4153</a> <p> Plusieurs vulnérabilités par script intersite permettent à un administrateur distant authentifié d'injecter un script arbitraire ou du HTML. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4154">CVE-2007-4154</a> <p> Une vulnérabilité par injection de code SQL permet à un administrateur distant authentifié d'exécuter des commandes SQL arbitraires. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0540">CVE-2007-0540</a> <p> WordPress permet à un attaquant distant de générer un déni de service (par consommation de la bande passante ou des processus) par l'intermédiaire d'appels au service pingback<!-- si quelqu un a une idée de traduction... --> avec une URI source qui correspond à un fichier de type de contenu binaire. Celui-ci est téléchargé même s'il ne peut pas contenir de données pingback utilisables. </p> </li> <li>[pas encore de référence CVE] <p> Une validation d'entrée insuffisante permet à un attaquant disposant d'un compte d'utilisateur standard d'accéder à l'interface d'administration. </p> </li> </ul> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 2.0.10-1etch2. </p> <p> Pour la distribution instable(<em>Sid</em>), ces problèmes ont été corrigés dans la version 2.2.3-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet wordpress. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1564.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités locales ont été découvertes dans le noyau Linux. Cela peut conduire à un déni de service ou à l'exécution de code arbitraire. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6694">CVE-2007-6694</a> <p> Cyrill Gorcunov a signalé le déréférencement d'un pointer NULL dans le code spécifique aux plates-formes PowerPC CHRP. Un utilisateur local peut exploiter ce problème pour arriver à un déni de service. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0007">CVE-2008-0007</a> <p> Nick Piggin de SuSE a découvert un certain nombre de problèmes dans les sous-systèmes qui enregistrent un gestionnaire de défauts pour les zones de mémoire<!-- memory mapped areas-->. Ce problème peut être exploité par un utilisateur local pour arriver à un déni de service et peut-être exécuter du code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1294">CVE-2008-1294</a> <p> David Peer a découvert qu'un utilisateur pouvait échapper aux limitation de temps de disponibilité de calcul imposée par l'administrateur (RLIMIT_CPU) en paramétrant une limite à 0. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1375">CVE-2008-1375</a> <p> Alexander Viro a découvert une situation de concurrence dans le sous-système de notification de répertoire. Cela permet à un utilisateur local de générer un déni de service (hoquet) et peut-être d'augmenter ses droits d'accès. </p> </li> </ul> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 2.6.18.dfsg.1-18etch3. </p> <p> Pour les distributions de test (<em>Lenny</em>) et instable(<em>Sid</em>), ces problèmes seront corrigés prochainement. </p> <p> Nous vous recommandons de mettre à jour vos paquets linux-2.6, fai-kernels et user-mode-linux. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1565.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Dmitry Levin a découvert une vulnérabilité dans le code de gestion des chemins utilisé par l'utilitaire d'archivage cpio. Cette faiblesse permet un déni de service (plantage) ou l'exécution de code arbitraire si une version vulnérable de cpio est utilisée pour extraire ou pour lister le contenu d'une archive conçue de manière malveillante. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.6-18.1+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.9-5. </p> <p> Nous vous recommandons de mettre à jour vos paquets cpio. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1566.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Stefan Cornelius a découvert une vulnérabilité dans l'analyseur de radiance d'image à dynamique étendue dans blender, une application de modélisation en 3D. Cette faiblesse permet un débordement de mémoire tampon basé sur la pile et l'exécution de code arbitraire si un fichier HDR conçu de manière malveillante est ouvert ou si on navigue dans un répertoire contenant un tel fichier avec la boîte de dialogue d'ouverture de fichiers de blender. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.42a-7.1+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.45-5. </p> <p> Nous vous recommandons de mettre à jour vos paquets blender. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1567.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Vérification d'entrée manquante</define-tag> <define-tag moreinfo> <p> <q>unsticky</q> a découvert que b2evolution, un moteur de journal sur la Toile, de réalisait pas de vérification suffisante des entrées. Cela permet une attaque par script intersite. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.9.2-3+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.9.2-4. </p> <p> Nous vous recommandons de mettre à jour votre paquet b2evolution. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1568.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Vérification d'entrée manquante</define-tag> <define-tag moreinfo> <p> On a découvert que Cacti, un frontal de surveillance des systèmes et des services, ne réalisait pas de validation suffisante des entrées. Cela conduit à de possibles attaques par script intersite et par injection de code SQL. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.8.6i-3.4. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.8.7b-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet cacti. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1569.data"
Attachment:
signature.asc
Description: Digital signature