-- .~. Nicolas Bertolissio /V\ nico.bertol@free.fr // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> On a découvert que sympa, un gestionnaire de listes de diffusion moderne, se plantait lors du traitement de certains types de messages mal formés. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 5.2.3-1.2+etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 5.3.4-4. </p> <p> Nous vous recommandons de mettre à jour votre paquet sympa. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1600.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans WordPress, un gestionnaire de
journaux sur la Toile. Le projet des expositions et vulnérabilités communes
(CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1599";>CVE-2007-1599</a>
<p>
WordPress permet à un attaquant distant de rediriger des utilisateurs
authentifiés vers d'autres sites et potentiellement d'obtenir des
informations sensibles.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0664";>CVE-2008-0664</a>
<p>
L'implantation XML-RPC, lorsque l'inscription est activée, permet à un
attaquant distant d'éditer des billets d'autres utilisateurs du journal.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.0.10-1etch3.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 2.3.3-1.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet wordpress.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1601.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Tavis Ormandy a découvert que PCRE, la bibliothèque d'expression rationnelles compatible avec Perl, pouvait rencontrer une situation de débordement de zone de mémoire du système lors de la compilation de certaines expressions rationnelles impliquant des options à l'intérieur du modèle et des branchements. Cela peut conduire à l'exécution de code arbitraire. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 6.7+7.4-4. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour vos paquets pcre3. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1602.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Empoisonnement de cache DNS</define-tag> <define-tag moreinfo> <p> Dan Kaminsky a découvert que des propriétés inhérentes au protocole DNS conduisaient à des attaques par empoisonnement de cache DNS. Entre autres choses, des attaques réussies peuvent conduire à mal diriger du trafic sur la Toile et à rerouter des courriels. </p> <p> Cette mise à jour modifie les paquets de la version 9 de Bind de Debian et implante cette contre-mesure recommandée : sélection aléatoire du port source des requêtes UDP. Cette modification augmente le nombre de valeurs dans lesquelles un attaquant doit chercher. Elle assure la compatibilité ascendante et rend les attaques significativement plus difficiles. </p> <p> Veuillez noter que cette mise à jour de sécurité modifie modifie le comportement réseau de Bind de manière fondamentale, et les étapes suivantes sont recommandées pour assurer une mise à jour sans heurt. </p> <p> 1. Assurez-vous que votre configuration réseau est compatible avec la sélection aléatoire de port source. Si vous protégez votre solveur avec un filtre de paquets sans état, vous devez vous assurer qu'aucun service autre que DNS n'écoute sur la série de port UDP 1024 à 65535 et l'ouvrir sur ce filtre de paquets. Par exemple, les filtres de paquets basés sur la version 2.6.18 du noyau Linux d'Etch ne gèrent que le filtrage sans état des paquets IPv6, et donc soulève cette difficulté supplémentaire (Si vous utilisez IPv4 avec iptables et des règles ESTABLISHED, il est probable qu'aucune modification du réseau ne soit nécessaire). </p> <p> 2. Installez la mise à jour de la version 9 de Bind, avec <q>apt-get update</q> suivi de <q>apt-get install bind9</q>. Vérifiez que le processus named a été redémarré et répond aux requêtes récursives (Si toutes les requêtes échouent suite à une erreur de temps de traitement dépassé, cela signifie que des modifications du réseau sont nécessaires ; veuillez vous référer à la première étape). </p> <p> 3. Vérifiez que la sélection aléatoire de port source est active. Vérifiez que le fichier /var/log/daemon.log ne contient pas de message de la forme suivante : </p> <pre>named[6106]: /etc/bind/named.conf.options:28: using specific query-source port suppresses port randomization and can be insecure.</pre> <p> juste après les messages <q>listening on IPv6 interface</q> et <q>listening on IPv4 interface</q> inscrits dans le journal par Bind au démarrage. Si ces messages sont présents, vous devez supprimer les lignes indiquées de la configuration, ou remplacer les numéros de ports qu'ils contiennent par le symbole <q>*</q> (par exemple, remplacez <q>port 53</q> par <q>port *</q>). </p> <p> À fin de vérification complémentaire, utilisez tcpdump ou d'autres outils de surveillance du réseau pour vérifier la variation des ports source UDP. S'il y a un périphérique NAT devant votre solveur, veuillez vous assurer qu'il ne supprime pas les effets de la sélection aléatoire de ports source. </p> <p> 4. Si vous ne pouvez pas activer la sélection aléatoire de ports source, pensez à configurer la version 9 de Bind pour rediriger les requêtes vers un solveur qui le peut, si possible sur un réseau privé virtuel comme OpenVPN afin de créer le lien réseau sécurisé nécessaire (utilisez le mode de simple redirection de Bind dans ce cas). </p> <p> D'autres solveurs utilisant un cache distribués par Debian (PowerDNS, MaraDNS, Unbound) emploient déjà la sélection aléatoire de ports source, et ils n'ont pas besoin d'être mis à jour. Les versions 9.5 de Bind à partir de et y compris la version 1:9.5.0.dfsg-4 n'implantent qu'une forme faible de sélection aléatoire des ports source et doivent aussi être mis à jour. Pour des informations sur la version 8 de Bind, veuillez vous reporter au <a href="dsa-1604">bulletin de sécurité Debian n° 1604-1</a>, et pour l'état du solveur<!-- libc stub resolver --> de la libc, veuillez vous reporter au <a href="dsa-1605">bulletin de sécurité Debian n° 1605-1</a>. </p> <p> Les paquets bind9 mis à jour contiennent des modifications initialement prévues pour la prochaine version intermédiaire de la distribution stable, y compris l'adresse IP modifiée de L.ROOT-SERVERS.NET (bogue Debian n° <a href="http://bugs.debian.org/449148";>449148</a>). </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 9.3.4-2etch3. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour votre paquet bind9. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1603.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Empoisonnement de cache DNS</define-tag> <define-tag moreinfo> <p> Dan Kaminsky a découvert que des propriétés inhérentes au protocole DNS conduisaient à des attaques par empoisonnement de cache DNS. Entre autres choses, des attaques réussies peuvent conduire à mal diriger du trafic sur la Toile et à rerouter des courriels. </p> <p> Le code de la version 8 de Bind ne peut pas être modifier pour incorporer les contre-mesures recommandées (sélection aléatoire de port source, voir le <a href="dsa-1603">bulletin de sécurité Debian n° 1603-1</a> pour de plus amples détails. Il y a deux façon de traiter cette situation : </p> <p> 1. Faire une mise à jour vers la version 9 de Bind (ou une autre implantation avec sélection aléatoire de port source). La documention incluse dans la version 9 de Bind contient un guide de migration. </p> <p> 2. Configurer le solveur de la version 8 de Bind pour qu'il redirige les requêtes vers un solveur de la version 9 de Bind. En supposant que le réseau entre les deux solveurs est sûr, cela protège le solveur de la version 8 de Bind d'attaque par empoisonnement du cache (avec la même sécurité que le solveur de la la version 9 de Bind). </p> <p> Ce problème ne s'applique pas à la version 8 de Bind lorsqu'elle est utilisée exclusivement comme serveur DNS officiel<!-- ? authoritative DNS server -->. Il est théoriquement possible d'utiliser la version 8 de Bind de cette manière de façon sûre, mais la mise à jour vers la version 9 de Bind est fortement recommandée. La version 8 de Bind (c'est-à-dire la paquet bind) sera supprimé de la distribution Etch dans une prochaine version intermédiaire. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1604.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Empoisonnement de cache DNS</define-tag> <define-tag moreinfo> <p> Dan Kaminsky a découvert que des propriétés inhérentes au protocole DNS conduisaient à des attaques par empoisonnement de cache DNS. Entre autres choses, des attaques réussies peuvent conduire à mal diriger du trafic sur la Toile et à rerouter des courriels. </p> <p> À Cet instant, il n'est pas possible d'implanter les contre-mesures recommandées dans le solveur de libc de GNU. Les contournements suivants sont possibles : </p> <p> 1. Installer un solveur local de la version 9 de Bind sur l'hôte, éventuellement en redirection seule. La version 9 de BIND utilise alors la sélection aléatoire de port source lors de l'envoi de requêtes sur le réseau (d'autre solveurs de cache peuvent être utilisés à la place). </p> <p> 2. Compter sur la protection d'usurpation d'adresse IP si elle est disponible. Les attaques réussies doivent usurper l'adresse d'un des solveurs ce qui peut ne pas être possible si le réseau est correctement protégé contre les attaques par usurpation d'adresse IP (à la fois de sources internes et externes). </p> <p> Ce bulletin de sécurité Debian sera mis à jour lorsque des correctifs pour renforcer le solveur seront disponibles. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1605.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert que poppler, une bibliothèque de rendu de PDF, ne gérait pas correctement les polices de caractères incorporées dans les fichiers PDF. Cela permet à un attaquant d'exécuter du code arbitraire par l'intermédiaire d'un objet de police conçu spécifiquement. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.4.5-5.1etch3. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.8.0-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets poppler. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1606.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans Iceweasel, une
version en marque blanche du navigateur Firefox. Le projet des expositions et
vulnérabilités communes (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2798";>CVE-2008-2798</a>
<p>
Devon Hubbard, Jesse Ruderman et Martijn Wargers ont découvert des
plantages dans le moteur de rendu. Cela peut permettre l'exécution de code
arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2799";>CVE-2008-2799</a>
<p>
Igor Bukanov, Jesse Ruderman et Gary Kwong ont découvert des plantages dans
le moteur JavaScript. Cela peut permettre l'exécution de code arbitraire.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2800";>CVE-2008-2800</a>
<p>
<q>moz_bug_r_a4</q> a découvert plusieurs vulnérabilités par script
intersite.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2801";>CVE-2008-2801</a>
<p>
Collin Jackson et Adam Barth ont découvert que du code JavaScript pouvait
être exécuté dans le contexte d'archives JAR signées.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2802";>CVE-2008-2802</a>
<p>
<q>moz_bug_r_a4</> a découvert que des documents XUL pouvaient augmenter
leur droits en accédant au fichier <q>fastload</q> précompilé.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2803";>CVE-2008-2803</a>
<p>
<q>moz_bug_r_a4</q> a découvert qu'une validation insuffisante des entrées
dans la fonction mozIJSSubScriptLoader.loadSubScript() pouvait conduire à
l'exécution de code arbitraire. Iceweasel lui-même n'est pas affecté, mais
certains modules le sont.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2805";>CVE-2008-2805</a>
<p>
Claudio Santambrogio a découvert qu'une validation manquante des accès dans
l'analyse DOM permettait à des sites malveillants de forcer le navigateur à
télécharger des fichiers locaux sur le serveur. Cela peut conduire à
divulguer des informations.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2807";>CVE-2008-2807</a>
<p>
Daniel Glazman a découvert qu'une erreur de programmation dans le code
d'analyse des fichiers .properties pouvait conduire à exposer du contenu de
la mémoire à des modules. Cela peur alors conduire à divulguer des
informations.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2808";>CVE-2008-2808</a>
<p>
Masahiro Yamada a découvert que les URL des fichiers dans les listes de
répertoires n'étaient pas suffisamment protégées.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2809";>CVE-2008-2809</a>
<p>
John G. Myers, Frank Benkstein et Nils Toedtmann ont découvert que les noms
alternatifs dans les certificats auto-signés n'étaient pas correctement
gérés. Cela peut conduire à l'usurpation de connexions sécurisées.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2811";>CVE-2008-2811</a>
<p>
Greg McManus a découvert un plantage dans le code de réordonnancement des
blocs. Cela peut conduire à l'exécution de code arbitraire.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 2.0.0.15-0etch1.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), Iceweasel est lié dynamiquement
avec la bibliothèque xulrunner.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet iceweasel.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1607.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Outrepassement d'autorisation</define-tag> <define-tag moreinfo> <p> Sergei Golubchik a découvert que MySQL, un serveur de bases de données largement déployé, ne validait pas correctement des données optionnelles ou des chemins de répertoires d'index fournis dans une instruction CREATE TABLE. Il n'empêche pas non plus (dans certains conditions) deux bases de données de lire, d'écrire ou d'effacer des données de tables créées dans d'autres bases de données, quelles que soient les autorisations GRANT. Le projet des expositions et vulnérabilités communes (CVE) identifie cette faiblesse sous la référence <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2079";>CVE-2008-2079</a>. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 5.0.32-7etch6. Veuillez noter que l'application de ce correctif aura pour conséquence de ne plus permettre la sélection de données ou de chemin d'index dans la racine de la base de données qui est, sur les systèmes Debian, /var/lib/mysql. Les administrateurs des bases de données qui doivent contrôler le positionnement des ces fichiers à cet endroit doivent le faire par d'autres moyens. </p> <p> Nous vous recommandons de mettre à jour vos paquets mysql-dfsg-5.0. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1608.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités locales et distantes ont été découvertes dans
lighttpd, une serveur web rapide avec une empreinte mémoire minimale. Le projet
des expositions et vulnérabilités communes (CVE) identifie les problèmes
suivants :
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0983";>CVE-2008-0983</a>
<p>
la version 1.4.18 de lighttpd, et peut-être d'autres versions avant
la 1.5.0, ne calculent pas correctement la taille d'un tableau de
descripteurs de fichiers. Cela permet à un attaquant distant d'engendrer un
déni de service (plantage) avec un grand nombre de connexions déclenchant
un accès hors des limites.
</p>
</li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3948";>CVE-2007-3948</a>
<p>
connections.c dans les versions de lighttpd précédant la 1.4.16
peuvent accepter plus de connexions que le maximum configuré. Cela permet à
un attaquant distant de générer un déni de service (failed assertion) avec
un grand nombre de tentatives de connexions.
</p>
</li>
</ul>
<p>
Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés
dans la version 1.4.13-4etch9.
</p>
<p>
Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version 1.4.18-2.
</p>
<p>
Nous vous recommandons de mettre à jour votre paquet lighttpd.
</p>
</define-tag>
# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1609.data"
Attachment:
signature.asc
Description: Digital signature