[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2008/dsa-16{[34-44]\38}.wml



Jean-Michel OLTRA a écrit :
> 1644 :
> ligne 8 : malicieux ? Y a-t-il de la malice dans un fichier ? Corrompu ?
> 

Merci pour ta relecture Jean-Michel, j'ai tout intégré. Pour le fichier
malicieux, j'ai remplacé par « forgé malicieusement », ce qui correspond
mieux à l'original en plus (maliciously crafted)...

Je renvoie tous les fichiers du coup.

-- 
Olaf'
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Peteul"
<define-tag description>Débordements de pile et de zone mémoire du système</define-tag>
<define-tag moreinfo>
<p>Rob Holland a découvert plusieurs erreurs de programmation dans WordNet,
une base de données lexicale électronique pour la langue anglaise. Ces défauts
pouvaient autoriser l'exécution de code arbitraire lors de l'utilisation
d'entrées non vérifiées, par exemple lorsque WordNet est utilisé en support
d'une application web.</p>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1:2.1-4+etch1.</p>

<p>Pour la distribution testing (Lenny), ces problèmes ont été corrigés dans la version 1:3.0-11+lenny1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:3.0-12.</p>

<p>Nous vous recommandons de mettre à jour votre paquet wordnet.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1634.data"
# $Id: dsa-1634.wml,v 1.1 2008-09-05 06:36:04 thijs Exp $
#use wml::debian::translation-check translation="1.4" maintainer="Thomas Peteul"
<define-tag description>Multiples vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Quelques vulnérabilités locales ont été découvertes dans freetype, un
moteur de fontes FreeType 2, qui pouvaient autoriser l'exécution de code
arbitraire.</p>

<p>Le projet « Common Vulnerabilities and Exposures project » a identifié les
problèmes suivants :</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1806";>CVE-2008-1806</a>
    <p>Un dépassement d'entier permet à des attaquants dépendants du contexte
    d'exécuter un code arbitraire via un jeu artisanal de valeurs dans la
    table dy dictionnaire Private dans un fichier PFB (« Printer Font
    Binary »).</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1807";>CVE-2008-1807</a>
    <p>La gestion d'un champ <q>nombre d'axes</q> invalide dans le fichier PFB
    pouvait déclencher la libération de zones mémoire arbitraires, entraînant
    une corruption de la mémoire.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1808";>CVE-2008-1808</a>
    <p>De multiples erreurs de décalage d'entier permettaient l'exécution de code
    arbitraire via des tables mal formées dans des fichiers PFB, ou des
    instructions SHC invalides dans des fichiers TTF.</p></li>

</ul>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.2.1-5+etch3.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.3.6-1.</p>

<p>Nous vous recommandons de mettre à jour votre paquet freetype.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1635.data"
# $Id: dsa-1635.wml,v 1.4 2008-10-18 18:25:21 jseidel Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Peteul"
<define-tag description>Déni de service / fuite d'informations</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui
peuvent conduire à un déni de service ou à la fuite de données sensibles. Le
projet « Common Vulnerabilities and Exposures » (CVE) a identifié les
problèmes suivants :</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3272";>CVE-2008-3272</a>

    <p>Tobias Klein a signalé une fuite de données localement exploitable dans
    la fonction snd_seq_oss_synth_make_info(). Cela peut permettre à des
    utilisateurs locaux d'accéder à des données sensibles.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3275";>CVE-2008-3275</a>

    <p>Zoltan Sogor a découvert une erreur de programmation dans le VFS qui
    permet à des utilisateurs locaux d'exploiter une fuite de mémoire du
    noyau, conduisant à un déni de service.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3276";>CVE-2008-3276</a>

    <p>Eugene Teo a signalé un débordement d'entier dans le sous-système DCCP
    qui peut permettre à des attaquants distants de provoquer un déni de
    service se manifestant sous forme de panique du noyau.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3526";>CVE-2008-3526</a>

    <p>Eugene Teo a signalé une vérification manquante de liens dans le
    sous-système SCTP. En exploitant un débordement d'entier dans le code
    gérant SCTP_AUTH_KEY, des attaquants à distance peuvent être capables de
    causer un déni de service se manifestant sous forme de panique du
    noyau.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3534";>CVE-2008-3534</a>

    <p>Kel Modderman a signalé un problème dans le système de fichiers tmpfs
    qui permet à des utilisateurs locaux de faire tomber le système en
    déclenchant une assertion noyau BUG().</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3535";>CVE-2008-3535</a>

    <p>Alexey Dobriyan a découvert une erreur due à un décalage d'entier dans
    la fonction iov_iter_advance qui peut être exploitée par des utilisateurs
    locaux pour faire tomber le système, entraînant un déni de service.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3792";>CVE-2008-3792</a>

    <p>Vlad Yasevich a signalé plusieurs conditions de référence de pointeur
    NULL dans le sous-système SCTP qui peuvent être déclenchées en entrant des
    codepaths sctp-auth alors que la fonctionnalité AUTH est désactivée. Cela
    peut permettre à des attaquants de provoquer une condition de déni de
    service via une panique système.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3915";>CVE-2008-3915</a>

    <p>Johann Dahm et David Richter ont signalé un problème dans le
    sous-système nfsd qui peut permettre à des attaquants distants de
    provoquer un déni de service via un débordement de tampon.</p></li>

</ul>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.6.24-6~etchnhalf.5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets linux-2.6.24.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1636.data"
# $Id: dsa-1636.wml,v 1.2 2008-09-12 06:41:37 kaare Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Peteul"
<define-tag description>Débordement de mémoire tampon</define-tag>
<define-tag moreinfo>
<p>De multiples vulnérabilités ont été identifiées dans git-core, le c&oelig;ur du
système de contrôle de versions distribuées git. Des limitations erronées de
la longueur du chemin dans les fonctions diff et grep de git, combinées à des
dépôts ou des changements malicieusements construits, pouvaient permettre un
débordement d'un tampon d'une pile et potentiellement l'exécution de code
arbitraire.</p>

<p>Le projet « Common Vulnerabilities and Exposures » (CVE) identifie cette
vulnérabilité sous le nom <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3546";>CVE-2008-3546</a>.</p>

<p>Pour la distribution stable (Etch), ce problème a été corrigé dans la version 1.4.4.4-2.1+etch1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.5.6.5-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets git-core.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1637.data"
# $Id: dsa-1637.wml,v 1.1 2008-09-16 05:45:11 devin Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Peteul"
<define-tag description>Exécution de commande</define-tag>
<define-tag moreinfo>
<p>On a découvert que twiki, une plate-forme collaborative en ligne, ne
nettoyait pas proprement le paramètre de l'image dans son script de
configuration. Cela pouvait permettre à des utilisateurs distants d'exécuter
des commandes arbitraires sur le système, ou de lire n'importe quel fichier
accessible en lecture par l'utilisateur web du serveur.</p>

<p>Pour la distribution stable (Etch), ce problème a été corrigé dans la version 1:4.0.5-9.1etch1.</p>

<p>Pour la distribution instable (Sid), ce problème sera bientôt corrigé.</p>

<p>Nous vous recommandons de mettre à jour votre paquet twiki.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1639.data"
# $Id: dsa-1639.wml,v 1.2 2008-09-22 07:52:49 kaare Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Thomas Peteul"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Simon Willison a découvert que dans Django, une interface web en Python, la
fonctionnalité qui conserve les données d'un POST HTTP pendant la
réauthentification d'un utilisateur permettait à un attaquant à distance
d'effectuer une modification non autorisée des données à l'aide d'une
falsification de requête intersites. Ceci est possible en dépit de l'activation
du module externe pour empêcher les falsifications de requêtes intersites. Le
projet « Common Vulnerabilities and Exposures » (CVE) identifie ce problème sous le
nom <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3909";>CVE-2008-3909</a>.</p>

<p>Dans cette mise à jour, la fonctionnalité affectée est désactivée ; ceci
est en accord avec la solution préférée par les programmeurs en amont pour
cette situation.</p>

<p>Cette mise à jour profite de l'occasion pour inclure également la
correction d'une attaque relativement mineure, de type déni de service, dans
l'interface d'internationalisation, connue sous le nom de <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5712";>CVE-2007-5712</a>.</p>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 0.95.1-1etch2.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0-1.</p>

<p>Nous vous recommandons de mettre à jour votre paquet python-django.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1640.data"
# $Id: dsa-1640.wml,v 1.2 2008-09-23 06:21:10 kaare Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Peteul"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités à distance ont été découvertes dans phpMyAdmin, un
outil pour administrer des bases de données MySQL via le réseau. Le
projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes
suivants :</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4096";>CVE-2008-4096</a>

    <p>Des utilisateurs distants authentifiés pouvaient exécuter du code
    arbitraire sur la machine sur laquelle tourne phpMyAdmin par la
    manipulation d'un paramètre de script.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3457";>CVE-2008-3457</a>

    <p>Exploiter une faille de type script intersite avec le script
    d'installation était possible dans des circonstances rares.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3456";>CVE-2008-3456</a>

    <p>Une protection a été ajoutée contre les sites web distants qui chargent
    phpMyAdmin dans un frameset.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3197";>CVE-2008-3197</a>

    <p>La falsification d'une requête intersite permettait à des attaquants
    distants de créer une nouvelle base de données, mais pas d'effectuer
    d'autre action dessus.</p></li>

</ul>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 4:2.9.1.1-8.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:2.11.8.1-2.</p>

<p>Nous vous recommandons de mettre à jour votre paquet phpmyadmin.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1641.data"
# $Id: dsa-1641.wml,v 1.1 2008-09-22 18:44:09 spaillar Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Peteul"
<define-tag description>Script intersite</define-tag>
<define-tag moreinfo>
<p>Will Drewry a découvert qu'Horde permettait à des attaquants d'envoyer un
courriel avec un attribut MIME malicieux du nom de fichier attaché pour
réaliser un script intersite.</p>

<p>Pour la distribution stable (Etch), ce problème a été corrigé dans la version 3.1.3-4etch4.</p>

<p>Pour la distribution testing (Lenny), ce problème a été corrigé dans la version 3.2.1+debian0-2+lenny1.</p>

<p>Pour la distribution instable (Sid), ce problème sera bientôt corrigé.</p>

<p>Nous vous recommandons de mettre à jour votre paquet horde3.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1642.data"
# $Id: dsa-1642.wml,v 1.2 2008-09-23 06:21:45 kaare Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Peteul"
<define-tag description>Gestion non sécurisée de fichier temporaire</define-tag>
<define-tag moreinfo>
<p>Dmitry E. Oboukhov a découvert que le plugin « to-upgrade » de Feta, une
interface simplifiée pour APT, dpkg et d'autres outils de gestion de paquets
de Debian créait des fichiers temporaires non sécurisés, ce qui pouvait
entraîner un déni de service local à travers des attaques de type lien
symbolique.</p>

<p>Pour la distribution stable (Etch), ce problème a été corrigé dans la version 1.4.15+etch1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.16+nmu1.</p>

<p>Nous vous recommandons de mettre à jour votre paquet feta.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1643.data"
# $Id: dsa-1643.wml,v 1.1 2008-10-06 18:19:09 spaillar Exp $
#use wml::debian::translation-check translation="" maintainer="Thomas Peteul"
<define-tag description>Débordement d'entier</define-tag>
<define-tag moreinfo>
<p>Felipe Andres Manzano a découvert que mplayer, un lecteur multimedia, est
vulnérable à plusieurs débordements d'entier dans le code de démultiplexage du
flux vidéo Real. Ces défauts pouvaient permettre à un attaquant de provoquer
un déni de service (un crash) ou potentiellement d'exécuter du code arbitraire
en fournissant un fichier vidéo malicieusement forgé.</p>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.0~rc1-12etch5.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0~rc2-18.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mplayer.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1644.data"
# $Id: dsa-1644.wml,v 1.3 2008-10-09 10:20:21 nori Exp $

Reply to: