[RFR2] wml://security/2008/dsa-16{45-50}.wml

To: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
Cc: debian-l10n-french@lists.debian.org
Subject: [RFR2] wml://security/2008/dsa-16{45-50}.wml
From: Thomas Péteul <olaf@resel.fr>
Date: Sun, 28 Dec 2008 16:18:29 +0100
Message-id: <[🔎] 495798C5.3070207@resel.fr>
Reply-to: olaf@resel.fr
In-reply-to: <[🔎] 20081227140808.GC17449@espinasse>
References: <[🔎] 49554EEF.5090906@resel.fr> <[🔎] 20081227140808.GC17449@espinasse>

Jean-Michel OLTRA a écrit :
>     Bonjour,
> 

Merci Jean-Edouard et Jean-Michel pour les relectures.

Pour la ligne 75 pas claire, j'ai précisé entre guillemets "ressource: URLs"
parce que visiblement c'est comme ça en anglais.



-- 
Olaf'

#use wml::debian::translation-check translation="1.2" maintainer="Thomas Peteul"
<define-tag description>Variées</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités locales / à distance ont été découvertes dans
lighttpd, un serveur web rapide ayant une empreinte mémoire minimale.</p>

<p>Le projet « Common Vulnerabilities and Exposures » identifie les problèmes
suivants :</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4298";>CVE-2008-4298</a>
    <p>Une fuite de mémoire dans la fonction http_request_parse pouvait être
    utilisée par des attaquants distants pour faire consommer la mémoire par
    lighttpd, et provoquer une attaque de type déni de service.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4359";>CVE-2008-4359</a>
    <p>Une gestion incohérente des motifs d'URL pouvait conduire à la
    révélation de ressources qu'un administrateur de serveur n'avait pas
    anticipé lors de l'utilisation de réécriture d'URL.</p></li>
    
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4360";>CVE-2008-4360</a>
    <p>Sur des systèmes de fichiers qui ne gèrent pas les chemins insensibles à
    la casse différemment, il aurait été possible que des ressources imprévues
    soient rendues disponibles par le module mod_userdir.</p></li>

</ul>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.4.13-4etch11.</p>

<p>Pour la distribution instable (Sid), ces problèmes seront bientôt corrigés.</p>

<p>Nous vous recommandons de mettre à jour votre paquet lighttpd.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1645.data"
# $Id: dsa-1645.wml,v 1.2 2008-10-06 18:18:01 spaillar Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Thomas Peteul"
<define-tag description>Vérification des limites d'un tableau</define-tag>
<define-tag moreinfo>
<p>Une faiblesse a été découverte dans squid, un serveur proxy muni d'un
cache. Le défaut a été introduit en amont, en réponse à <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6239";>CVE-2007-6239</a>,
et annoncé par Debian dans <a href="dsa-1482">DSA-1482-1</a>. Le défaut
impliquait une vérification sur-agressive des liens dans un redimensionnement
de tableau, et pouvait être exploité par un client autorisé pour provoquer une
condition de déni de service contre squid.</p>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.6.5-6etch2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets squid.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1646.data"
# $Id: dsa-1646.wml,v 1.2 2008-11-03 15:03:46 peterk Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Thomas Peteul"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans PHP, un langage de script
côté serveur, intégré à HTML. Le projet « Common Vulnerabilities and
Exposures » identifie les problèmes suivants :</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3658";>CVE-2008-3658</a>

    <p>Un débordement de tampon dans la fonction imageloadfont permettait un
    déni de service ou l'exécution de code à l'aide d'un fichier de fonte
    artisanal.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3659";>CVE-2008-3659</a>

    <p>Un débordement de tampon dans la fonction memnstr permettait un déni de
    service ou l'exécution de code à l'aide du passage d'un paramètre
    délimiteur artisanal dans la fonction explode.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3660";>CVE-2008-3660</a>

    <p>Un déni de service était possible dans le module FastCGI par un
    attaquant distant en faisant une requête avec de multiples points avant
    l'extension.</p></li>

</ul>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 5.2.0-8+etch13.</p>

<p>Pour les distributions de test (Lenny) et instable (Sid), ces problèmes ont
été corrigés dans la version 5.2.6-4.</p>

<p>Nous vous recommandons de mettre à jour votre paquet php5.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1647.data"
# $Id: dsa-1647.wml,v 1.1 2008-10-07 10:11:15 spaillar Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Thomas Peteul"
<define-tag description>fichiers temporaires non sûrs</define-tag>
<define-tag moreinfo>
<p>Dmitry E. Oboukhov a découvert que le script test.alert utilisé par l'une
des fonctions d'alerte de mon, un système pour surveiller des hôtes ou des
services et alerter en cas de problèmes, crée des fichiers temporaires de
façon non sécurisée, ce qui peut entraîner un déni de service local, au moyen
d'attaques de liens symboliques.</p>

<p>Pour la distribution stable (Etch), ce problème a été corrigé dans la version 0.99.2-9+etch2.</p>

<p>Pour les distributions de test (Lenny) et instable (Sid), ce problème a été
corrigé dans la version 0.99.2-13.</p>

<p>Nous vous recommandons de mettre à jour votre paquet mon.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1648.data"
# $Id: dsa-1648.wml,v 1.1 2008-10-08 22:08:32 spaillar Exp $

#use wml::debian::translation-check translation="1.3" maintainer="Thomas Peteul"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités distantes ont été découvertes dans le navigateur
web Iceweasel, une version démarquée du navigateur Firefox. Le projet « Common
Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>
 
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0016";>CVE-2008-0016</a>

   <p>Justin Schuh, Tom Cross et Peter Williams ont découvert un débordement
   de tampon dans le découpeur d'URL en UTF-8, ce qui peut mener à l'exécution
   de code arbitraire.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3835";>CVE-2008-3835</a>

   <p><q>moz_bug_r_a4</q> a découvert que la vérification de même origine dans
   nsXMLDocument::OnChannelRedirect() pouvait être contournée.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3836";>CVE-2008-3836</a>

   <p><q>moz_bug_r_a4</q> a découvert que plusieurs vulnérabilités dans la
   fonction feedWriter pouvaient conduire à une augmentation des droits de
   Chrome.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3837";>CVE-2008-3837</a>

   <p>Paul Nickerson a découvert qu'un attaquant pouvait déplacer des fenêtres
   pendant un clic de souris, résultant en une action non désirée provoquée
   par un glisser-lâcher.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4058";>CVE-2008-4058</a>

   <p><q>moz_bug_r_a4</q> a découvert une vulnérabilité qui peut résulter dans
   une augmentation des privilèges de Chrome à travers
   XPCNativeWrappers.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4059";>CVE-2008-4059</a>

   <p><q>moz_bug_r_a4</q> a découvert une vulnérabilité qui peut résulter dans
   une augmentation des privilèges de Chrome à travers
   XPCNativeWrappers.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4060";>CVE-2008-4060</a>

   <p>Olli Pettay et <q>moz_bug_r_a4</q> ont découvert une augmentation des
   droits de Chrome dans la gestion de XSLT.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4061";>CVE-2008-4061</a>

   <p>Jesse Ruderman a découvert un crash dans le moteur de rendu, qui
   aurait pu permettre l'exécution de code arbitraire.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4062";>CVE-2008-4062</a>

   <p>Igor Bukanov, Philip Taylor, Georgi Guninski et Antoine Labour ont
   découvert des crashes dans le moteur Javascript, qui auraient pu permettre
   l'exécution de code arbitraire.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4065";>CVE-2008-4065</a>

   <p>Dave Reed a découvert que certaines marques de l'ordre des octets
   d'Unicode sont effacées du code Javascript avant exécution, ce qui peut
   résulter en l'exécution de code qui était autrement une partie d'une chaîne
   entre guillemets.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4066";>CVE-2008-4066</a>

   <p>Gareth Heyes a découvert que quelques caractères de substitution Unicode
   sont ignorés par le découpeur HTML.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4067";>CVE-2008-4067</a>

   <p>Boris Zbarsky a découvert que « resource: URLs » permet la traversée de
   répertoire lors de l'utilisation de barres obliques encodées en URL.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4068";>CVE-2008-4068</a>

   <p>Georgi Guninski a découvert que « resource: URLs » pouvait contourner des
   restrictions locales d'accès.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4069";>CVE-2008-4069</a>

   <p>Billy Hoffman a découvert que le décodeur XBM pouvait révéler de la
   mémoire non initialisée.</p></li>

</ul>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la
version 2.0.0.17-0etch1. Des paquets pour l'architecture hppa seront fournis
plus tard.</p>

<p>Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la
version 3.0.3 d'iceweasel et la version 1.9.0.3-1 de xulrunner.</p>

<p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1649.data"
# $Id: dsa-1649.wml,v 1.3 2008-10-16 13:58:54 jseidel Exp $

#use wml::debian::translation-check translation="" maintainer="Thomas Peteul"
<define-tag description>Déni de service</define-tag>
<define-tag moreinfo>
<p>Cameron Hotchkies a découvert que le serveur OpenLDAP slapd, une
implémentation libre du protocole LDAP (« Lightweight Directory Access
Protocol »), pouvait être effondré en envoyant des requêtes ASN1 mal formées.</p>

<p>Pour la distribution stable (Etch), ce problème a été corrigé dans la version 2.3.30-5+etch2.</p>

<p>Pour la distribution instable (Sid), ce problème a été corrigé dans la
version 2.4.10-3 du paquet openldap.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openldap2.3.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1650.data"
# $Id: dsa-1650.wml,v 1.1 2008-10-12 10:38:50 spaillar Exp $

Attachment: signature.asc
Description: OpenPGP digital signature

Reply to:

References:
- [RFR] wml://security/2008/dsa-16{45-50}.wml
  - From: Thomas Péteul <olaf@resel.fr>
- Re: [RFR] wml://security/2008/dsa-16{45-50}.wml
  - From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>

Prev by Date: [RFR2] wml://security/2008/dsa-1638.wml
Next by Date: Debian WWW CVS commit by tpeteul: webwml/french/News/weekly/2008/16 index.wml
Previous by thread: Re: [RFR] wml://security/2008/dsa-16{45-50}.wml
Next by thread: Debian WWW CVS commit by tpeteul: webwml/french/releases/etch/debian-installer e ...
Index(es):
- Date
- Thread