-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Divers</define-tag> <define-tag moreinfo> <p> Andrews Salomon a signalé que kazehakase, un navigateur pour la Toile basé sur GTK+ qui admet des moteurs de rendu modulables, contenait une copie embarquée de la bibliothèque PCRE dans l'arborescence de son code source. Celle-ci est compilée et utilisée de préférence à la version disponible pour tout le système. </p> <p> La bibliothèque PCRE a été mise à jour pour corriger des problèmes de sécurité dans des bulletins de sécurité Debian précédents. Cette mise à jour s'assure que kazehakase utilise cette bibliothèque-ci et non sa propre version embarquée et peu sûre. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.4.2-1etch1. </p> <p> Nous vous recommandons de mettre à jour votre paquet kazehakase. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1570.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio" <define-tag description>Générateur de nombres aléatoires prévisible</define-tag> <define-tag moreinfo> <p> Luciano Bello a découvert que le générateur de nombres aléatoire du paquet Debian openssl était prévisible. Cela est dû a une modification spécifique à Debian incorrecte faite au paquet openssl (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0166";>\ CVE-2008-0166</a>). En conséquence, les données de clés de chiffrement peuvent être prévisibles. </p> <p> Il s'agit d'une vulnérabilité spécifique à Debian qui n'affecte pas les autres systèmes d'exploitation qui ne sont pas basés sur Debian. Cependant, d'autres systèmes peuvent être indirectement affectés si des clés faibles y sont importées. </p> <p> Il est fortement recommandé que toute donnée de clé de chiffrement qui a été générée avec OpennSSL à partir des version 0.9.8c-1 sur des systèmes Debian soit recréée à partir de zéro. De plus, toute clé DSA utilisée sur des systèmes Debian affectés à fin d'authentification ou de signature devrait être considérée compromise. L'algorithme de signature numérique repose sur une valeur secrète aléatoire utilisée pendant la création de la signature. </p> <p> La première version vulnérable, 0.9.8c-1, a été téléchargée dans la distribution instable le 17 septembre 2006, et s'est depuis cette date propagée aux versions de test et stable actuelle (<em>Etch</em>). L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée. </p> <p> Les clés affectése comprennent les clés SSH, les clés OpenVPN, les clés DNSSEC et les données des clés utilisées pour les certificats X.509 et les clés de sessions utilisées dans les connections SSL/TLS. Les clés générées avec GnuPG ou GNUTLS ne sont cependant pas affectées. </p> <p> Un détecteur de données de clés faibles connus est publié à : </p> <p> <url "http://security.debian.org/project/extra/dowkd/dowkd.pl.gz";> <a href="http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc";>(signature OpenPGP)</a> </p> <p> Des instructions sur la manière d'implanter de nouvelles clés sûres pour divers paquets seront publiées à : </p> <p> <a href="$(HOME)/security/key-rollover/">http://www.debian.org/security/key-rollover/</a> </p> <p> Ce site sera continuellement mis à jour pour refléter les instructions nouvelles et mises à jour sur la mise en place de clefs sûres pour les paquets utilisant des certificats SSL. Les paquets bien connus non affectés seront également listés. </p> <p> En plus de cette modification critique, deux autres vulnérabilités ont été corrigées dans le paquet openssl dont la publication initiale était prévue avec la prochaine mise à jour intermédiaire d'<em>Etch</em> : l'implantation des DTLS (Datagrammes TLS, en clair <q>SSL sur UDP</q>) d'OpenSSL n'implante pas réellement la spécification DTLS, mais un protocoles potentiellement bien plus faible, et contient une vulnérabilité permettant l'exécution de code arbitraire (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4995";>\ CVE-2007-4995</a>). Une attaque grace à des fuites d'informations involontaires (<i>side channel</i>) dans les routines de multiplication d'entiers est également traitée (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3108";>\ CVE-2007-3108</a>). </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 0.9.8c-4etch3. </p> <p> Pour les distributions de test (<em>Lenny</em>) et instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 0.9.8g-9. </p> <p> Nous vous recommandons de mettre à jour votre paquet openssl puis de régénérer toute donnée de chiffrement, comme indiqué ci-dessus. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1571.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales ont été découvertes dans PHP, un langage de
scripts embarqué dans le HTML côté serveur. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3806";>CVE-2007-3806</a>
<p>
La fonction <em>glob</em> permet à un attaquant dépendant du contexte de
générer un déni de service et peut-être d'exécuter du code arbitraire
<i>via</i> une valeur invalide du paramètre <em>flags</em>.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1384";>CVE-2008-1384</a>
<p>
Un débordement d'entier permet à un attaquant dépendant du contexte de
causer un déni de service et a peut-être d'autres impacts <i>via</i> un
paramètre de formatage de printf ayant une grande longueur indiquée.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2050";>CVE-2008-2050</a>
<p>
Débordement de mémoire tampon basé sur la pile dans FastCGI SAPI.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2051";>CVE-2008-2051</a>
<p>
La fonction escapeshellcmd de l'interface de programmation d'application
peut être attaquée avec des caractères sur plusieurs octets incomplets.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 5.2.0-8+etch11.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 5.2.6-1.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet php5.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1572.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans rdesktop, un client
pour le protocole de bureau à distance. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1801";>CVE-2008-1801</a>
<p>
L'exploitation distante d'une vulnérabilité de débordement d'entier par le
bas permet à un attaquant d'exécuter du code arbitraire avec les droits de
l'utilisateur connecté.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1802";>CVE-2008-1802</a>
<p>
L'exploitation distante d'une vulnérabilité par débordement du bloc de
variables statiques permet à un attaquant d'exécuter du code arbitraire
avec les droits de l'utilisateur connecté.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1803";>CVE-2008-1803</a>
<p>
L'exploitation distante d'une vulnérabilité de signe d'entier permet à un
attaquant d'exécuter du code arbitraire avec les droits de l'utilisateur
connecté.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.5.0-1etch2.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.5.0-4+cvs20071006.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet rdesktop.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1573.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
# Beaucoup de texte est commun aux dsa 1532, 1534 et 1535
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans Icedove, une
version en marque blanche du lecteur de courriels Thunderbird. Le projet des
expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1233";>CVE-2008-1233</a>
<p>
<q>moz_bug_r_a4</q> a découvert que des variantes de <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3738";>\
CVE-2007-3738</a> et de <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5338";>\
CVE-2007-5338</a> permettaient l'exécution de code arbitraire <i>via</i>
XPCNativeWrapper.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1234";>CVE-2008-1234</a>
<p>
<q>moz_bug_r_a4</q> a découvert que la gestion peu sûre de gestionnaires
d'événements pouvait conduire à des attaques par script intersite.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1235";>CVE-2008-1235</a>
<p>
Boris Zbarsky, Johnny Stenback et <q>moz_bug_r_a4</q> ont découvert que la
gestion principale incorrecte pouvait conduire à des attaques par script
intersite et à l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1236";>CVE-2008-1236</a>
<p>
Tom Ferris, Seth Spitzer, Martin Wargers, John Daggett et Mats Palmgren ont
découvert des plantages dans le moteur de rendu. Cela peut permettre
l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1237";>CVE-2008-1237</a>
<p>
<q>georgi</q>, <q>tgirmann</q> et Igor Bukanov ont découverts des plantages
dans le moteur JavaScript. Cela peut permettre l'exécution de code arbitraire.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.5.0.13+1.5.0.15b.dfsg1+prepatch080417a-0etch1.
</p>
<p>
Nous vous recommandons de mettre à jour vos paquets icedove.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1574.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Déni de service</define-tag>
<define-tag moreinfo>
<p>
Une vulnérabilité a été découverte dans le noyau Linux. Cela peut conduire à un
déni de service. Le projet des expositions et vulnérabilités communes (CVE)
identifie le problème suivant :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1669";>CVE-2008-1669</a>
<p>
Alexander Viro a découvert une situation de concurrence dans le code de
fcntl. Cela permet à un utilisateur local sur un système multi-processeur
d'exécuter des chemins de code en parallèle alors que cela lui est
normalement interdit et d'obtenir un accès <i>re-ordered</i> à la table des
descripteurs.
</p>
</li>
</ul>
<p>For the stable distribution (etch), this problem has been fixed in version
2.6.18.dfsg.1-18etch4.</p>
<p>For the unstable distribution(sid), this problem has been fixed in version
2.6.25-2.</p>
<p>We recommend that you upgrade your linux-2.6, fai-kernels, and
user-mode-linux packages.</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1575.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio" <define-tag description>Générateur de nombres aléatoires prévisible</define-tag> <define-tag moreinfo> <p> La vulnérabilité annoncée récemment dans le paquet openssl de Debian (<a href="/security/2008/dsa-1571">bulletin de sécurité n° 1571-1</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0166";>\ CVE-2008-0166</a>) affecte indirectement OpenSSH. En conséquence, toutes les clés d'utilisateur et d'hôte générées avec des versions défaillantes du paquet openssl ne doivent pas être considérées comme étant de confiance, même après l'application de la mise à jour d'openssl. </p> <p> 1. Installer les mises à jour de sécurité </p> <p> Cette mise à jour contient une dépendance vers la mise à jour d'openssl et installera automatiquement une version correcte du paquet libssl0.9.8, ainsi qu'un nouveau paquet openssh-blacklist. </p> <p> Une fois la mise à jour appliquée, les clés d'utilisateur faibles seront automatiquement rejetées lorsque c'est possible (elles ne peuvent pas toujours être détectées). Si vous utilisez de telles clés pour l'authentification des utilisateurs, elles arrêteront immédiatement de fonctionner et devront être remplacées (voir étape 3). </p> <p> Les clés d'hôtes OpenSSH peuvent être régénérées automatiquement lors de l'application de la mise à jour de sécurité d'OpenSSH. La mise à jour demandera une confirmation avant cette étape. </p> <p> 2. Mise à jour des fichiers known_hosts d'OpenSSH </p> <p> La régénération des clés d'hôte entraînera l'affichage d'un avertissement lors de la connexion au système avec SSH jusqu'à ce que la clé d'hôte soit mise à jour dans le fichier known_hosts file. L'avertissement ressemble à ceci : </p> <pre> @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the RSA host key has just been changed. </pre> <p> Dans ce cas, la clé d'hôte a simplement été modifiée, et vous devriez mettre à jour le fichier known_hosts correspondant comme indiqué dans le message d'erreur. Il est recommandé d'utiliser un canal sécurisé pour échanger la clé du serveur. Elle se trouve dans le fichier /etc/ssh/ssh_host_rsa_key.pub sur le serveur ; son empreinte peut être affichée avec la commande suivante : </p> <p> ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub </p> <p> En plus des fichiers known_hosts des utilisateurs, il peut y avoir un fichier d'hôtes connus au niveau du système /etc/ssh/ssh_known_hosts. Ce fichier est utilisé à la fois par le client ssh et par sshd pour la fonctionnalité hosts.equiv. Ce fichier doit également être mis à jour. </p> <p> 3. Vérification de toutes les clés OpenSSH des utilisateurs </p> <p> L'action la plus sûre est de régénérer toutes les clés OpenSSH des utilisateurs, sauf s'il peut être établi à un haut dégré de certitude que la clé a été générée sur un système non affecté. </p> <p> Vérifiez si votre clé a été affectée en lançant l'outil ssh-vulnkey inclus dans la mise à jour de sécurité. Par défaut, ssh-vulnkey vérifie les emplacements standards des clés d'utilisateur (~/.ssh/id_rsa, ~/.ssh/id_dsa et ~/.ssh/identity), vos fichiers authorized_keys (~/.ssh/authorized_keys et ~/.ssh/authorized_keys2), et les clés d'hôte du système (/etc/ssh/ssh_host_dsa_key et /etc/ssh/ssh_host_rsa_key). </p> <p> Pour vérifier toutes cos clés, en supposant qu'elles sont situées aux emplacements standards (~/.ssh/id_rsa, ~/.ssh/id_dsa, ou ~/.ssh/identity) utilisez : </p> <p> ssh-vulnkey </p> <p> Pour vérifier toutes les clés du système : </p> <p> sudo ssh-vulnkey -a </p> <p> Pour vérifier une clé à un emplacement non standard : </p> <p> ssh-vulnkey /chemin/vers/la/clé </p> <p> Si ssh-vulnkey répond <q>Unknown (no blacklist information)</q>, alors il n'y a pas d'information sur la vulnérabilité de vos clés. Dans se cas, vous pouvez examiner la date de modification (mtime) du fichier en utilisant <q>ls -l</q>. Les clés générées avant septembre 2006 ne sont pas affectées. Veuillez garder à l'esprit que, bien que cela soit peut probable, les procédures de sauvegarde peuvent avoir modifié la date du fichier dans le passé (ou l'horloge du système peut avoir été incorrectement paramétrée). En cas de doute, générez une nouvelle clé et supprimez les anciennes de tous les serveurs. </p> <p> 4. Régénérer les clés des utilisateurs affectées </p> <p> Les clés OpenSSH utilisées pour l'authentification des utilisateurs doivent être régénérées manuellement, y compris celle qui ont depuis été transférées sur d'autres systèmes après avoir été créées. </p> <p> De nouvelles clés peuvent être générées avec ssh-keygen, par exemple : </p> <pre> $ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/home/user/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/user/.ssh/id_rsa. Your public key has been saved in /home/user/.ssh/id_rsa.pub. The key fingerprint is: 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 user@host </pre> <p> 5. Mise à jour des fichiers authorized_keys (si nécessaire) </p> <p> Une fois les clés d'utilisateur régénérées, les clés publiques correspondantes doivent être propagées dans tous les fichiers authorized_keys (et authorized_keys2, si nécessaire) sur les systèmes distants. Assurez-vous de bien supprimer de ces fichiers les lignes contenant les anciennes clés. </p> <p> En plus de ces contre-mesures, pour atténuer le caractère aléatoire de cette vulnérabilité, cette mise à jour d'OpenSSH corrige plusieurs autres vulnérabilités : </p> <p> <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1483";>CVE-2008-1483</a> : Timo Juhani Lindfors a découvert que, lors de l'utilisation de la redirection X11, le client SSH sélectionnait un port de redirection sans s'assurer qu'il pouvait être lié à toutes les familles d'adresses. Si le système est configuré avec IPv6 (même s'il n'a aucune connexion IPv6), cela peut permettre à un attaquant local sur un serveur distant de détourner la redirection X11. </p> <p> <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4752";>CVE-2007-4752</a> : Jan Pechanec a découvert que ssh revenait à la création d'un cookie X11 sûr si la création d'un cookie peu sûr échouait. Cela peut exposer la visualisation locale à un serveur distant malveillant lors de l'utilisation de la redirection X11. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 4.3p2-9etch1. Actuellement, seule une partie de toutes les architectures gérées ont été construites ; d'autres mises à jour seront fournies dès qu'elles seront disponibles. </p> <p> Pour les distributions de test (<em>Lenny</em>) et instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 4.7p1-9. </p> <p> Nous vous recommandons de mettre à jour votre paquet openssh et de prendre les mesures indiquées ci-dessus. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1576.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Fichiers temporaires peu sûrs</define-tag> <define-tag moreinfo> <p> Stephen Gran et Mark Hymers ont découvert que certains scripts utilisés par GForge, un outil de développement collaboratif, ouvrait des fichiers en écriture d'une manière potentiellement peu sûre. Cela peut être exploité pour écraser des fichiers arbitraires sur le système local. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 4.5.14-22etch8. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour votre paquet gforge. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1577.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales ont été découvertes dans la version 4 de
PHP, un langage de scripts embarqué dans le HTML côté serveur. Le projet des
expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3799";>CVE-2007-3799</a>
<p>
La fonction session_start permet à un attaquant distant d'insérer des
attributs arbitraires dans le cookie de session par l'intermédiaire de
caractères spéciaux dans un cookie qui est obtenu par divers paramètres.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3806";>CVE-2007-3806</a>
<p>
Un déni de service est possible <i>via</i> un script malveillant abusant de
la fonction glob().
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3998";>CVE-2007-3998</a>
<p>
Certaines entrées de la fonction wordwrap() construites de manière
malveillantes peuvent conduire à une attaque par déni de service.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4657";>CVE-2007-4657</a>
<p>
De longues valeurs des fonctions stspn() et strcspn() peuvent permettre à
un attaquant de déclencher des débordements d'entier pour dévoiler de la
mémoire ou causer un déni de service.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2051";>CVE-2008-2051</a>
<p>
La fonction escapeshellcmd de l'interface de programmation d'application
peut être attaquée avec des caractères sur plusieurs octets incomplets.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 6:4.4.4-8+etch6.
</p>
<p>
La distribution instable (<em>Sid</em>) ne contient plus de paquet php4.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet php4.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1578.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Validation d'entrée manquante</define-tag> <define-tag moreinfo> <p> Une vulnérabilité a été découverte dans l'implantation du lecteur GIF de netpbm-free, un ensemble d'outils de manipulation d'images. Une validation insuffisante des données d'entrée peut permettre à un fichier GIF conçu de manière malveillante de faire déborder un tampon de mémoire de pile. Cela permet potentiellement l'exécution de code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2:10.0-11.1+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2:10.0-11.1. </p> <p> Nous vous recommandons de mettre à jour vos paquets netpbm. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1579.data"
Attachment:
signature.asc
Description: Digital signature