[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2009/dsa-170{5,6,9,10,11,12,13,14,15}.wml

On Fri, Jan 30, 2009 at 03:40:27AM +0100, Jean-Edouard Babin wrote:
> 1 dsa-1705.wml
> 2 dsa-1706.wml
> 3 dsa-1709.wml
> 4 dsa-1710.wml
> 5 dsa-1711.wml
> 6 dsa-1712.wml
> 7 dsa-1713.wml
> 8 dsa-1714.wml
> 9 dsa-1715.wml

Fichiers envoyés sur le CVS (après reformatage des lignes à 80 colonnes
et quelques corrections d'accord.)

Voici les fichiers envoyés sur le CVS (les diff/patch sont plus lisibles
sur des fichier à 80 colonnes).

(J'ai changé le sujet juste pour que le robot comprenne, je prends pas
la responsabilité des DSA :-)

-- 
Simon Paillard

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>missing input sanitising</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que netatalk, une mise en oeuvre d'AppleTalk, est affecté
par une vulnérabilité par injection de commandes lors du traitement des flux
PostScript par papd. Cela peut conduire à l'exécution de code arbitraire.
Veuillez noter que ce ne concerne que les installations qui sont configurées pour
utiliser un tuyau de commande en association avec des symboles joker substitués
par des valeurs de la tâche d'impression.</p>


<p>Pour la distribution stable (Etch), ce problÚme a été corrigé dans la
version 2.0.3-4+etch1.</p>

<p>Pour la distribution stable à venir (Lenny), ce problÚme a été corrigé dans
la version 2.0.3-11+lenny1.</p>

<p>Pour la distribution unstable (Sid), ce problÚme a été corrigé dans la
version 2.0.4~beta2-1.</p>

<p>Nous vous recommandons de mettre à jour votre paquet netatalk.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1705.data"
# $Id: dsa-1705.wml,v 1.1 2009-01-30 20:35:08 spaillar Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>Dépassement d'entier</define-tag>
<define-tag moreinfo>
<p>Tobias Klein a découvert qu'un dépassement d'entier dans l'analyseur de
fichier Audible de Amarok media player peut conduire à l'exécution de code
arbitraire.</p>

<p>Pour la distribution stable (Etch), ce problÚme a été corrigé dans la
version 1.4.4-4etch1. Les paquets mis à jour pour les architectures sparc et
arm seront disponibles plus tard.</p>

<p>Pour la distribution stable à venir (Lenny) et la distribution unstable
(Sid), ce problÚme a été corrigé dans la version 1.4.10-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets amarok.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1706.data"
# $Id: dsa-1706.wml,v 1.1 2009-01-30 20:35:08 spaillar Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>Condition de concurrence</define-tag>
<define-tag moreinfo>
<p>Paul Szabo a découvert que login, le systÚme de connexion au systÚme ne gÚre
pas correctement les liens symboliques lors de la mise en place des permissions
des tty. Si un attaquant local a été en mesure de prendre le contrÎle du
systÚme de fichier utmp, il pourrait provoquer le changement du propriétaire et
les autorisations sur des fichiers arbitraires, conduisant à une escalade de
privilÚges du superutilisateur.</p>

<p>Pour la distribution stable (Etch), ce problÚme a été corrigé dans la
version 4.0.18.1-7+etch1.</p>

<p>Pour la distribution unstable (Sid), ce problÚme a été corrigé dans la
version 4.1.1-6.</p>

<p>Nous vous recommandons de mettre à jour votre paquet shadow.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1709.data"
# $Id: dsa-1709.wml,v 1.1 2009-01-30 20:35:08 spaillar Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>Débordement de mémoire tampon</define-tag>
<define-tag moreinfo>
<p>Spike Spiegel a découvert un débordement de mémoire tampon dans gmetad, le
meta-daemon pour les outils de supervision de cluster ganglia. Il peut-être
déclenché grâce à une requête avec des chemins de fichier long et peut conduire
à l'exécution de code arbitraire.</p>

<p>Pour la distribution stable (Etch), ce problÚme a été corrigé dans la
version 2.5.7-3.1etch1.</p>

<p>Pour la distribution unstable (Sid), ce problÚme a été corrigé dans la
version 2.5.7-5.</p>

<p>Pour la distribution testing (Lenny), ce problÚme sera bientÎt corrigé.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ganglia-monitor-core.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1710.data"
# $Id: dsa-1710.wml,v 1.1 2009-01-30 20:35:08 spaillar Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités exploitables à distance ont été découvertes dans le
gestionnaire de contenu web TYPO3. Le projet des expositions et vulnérabilités
communes (CVE) identifie les problÚmes suivants :</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0255";>CVE-2009-0255</a>
    <p>Chris John Riley a découvert que les clés de chiffrement utilisés par TYPO3 sont
    générées avec un manque de sel ce qui conduit à une basse entropie et
    rend plus facile pour les attaquants de trouver cette clé.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0256";>CVE-2009-0256</a>
    <p>Marcus Krause a découvert que TYPO3 n'invalide pas une session fournie
    lors de l'authentification ce qui permet à un attaquant de prendre la session d'une victime
    par l'intermédiaire d'une attaque de session.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0257";>CVE-2009-0257</a>
    <p>Plusieurs vulnérabilités de script intersites permettent à des
    attaquants distants d'injecter arbitrairement des scripts web ou du code HTML
    via différents arguments et chaînes fournies par l'utilisateur utilisées dans
    l'extension de systÚme de recherche indexé et dans l'extension de scripts de
    test ou le module de travail de adodb.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0258";>CVE-2009-0258</a>
    <p>Mads Olesen a découvert une vulnérabilité d'injection de commandes à distance dans
    l'extension du systÚme de recherche indexée qui permet à des attaquants
    d'exécuter du code arbitraire via un nom de fichier bien choisi puis passé
    sans échappement à divers outils systÚme qui en extrait le contenu pour
    l'indexation.</p></li>

</ul>


<p>En raison de <a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0255";>CVE-2009-0255</a>,
assurez-vous de générer une nouvelle clé de chiffrement aprÚs la
installation.</p>

<p>Pour la distribution stable (Etch), ces problÚmes ont été corrigés dans la
version 4.0.2+debian-7.</p>

<p>Pour la distribution unstable (Sid), ces problÚmes ont été corrigés dans la
version 4.2.5-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets TYPO3.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1711.data"
# $Id: dsa-1711.wml,v 1.1 2009-01-30 20:35:08 spaillar Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>Débordement d'entier</define-tag>
<define-tag moreinfo>
<p>Il a été découvert qu'un débordement d'entier dans l'analyseur du paquet
« Probe Request » du driver de périphérique sans fil Ralinktech peut conduire à
un déni de service distant ou à l'exécution de code arbitraire.</p>

<p>Veuillez noter que vous devez recompiler votre driver depuis les sources du
paquet pour que cette mise à jour soit effective. Les instructions sont
disponibles dans le fichier /usr/share/doc/rt2400-source/README.Debian</p>

<p>Pour la distribution stable (Etch), ce problÚme a été corrigé dans la
version 1.2.2+cvs20060620-4+etch1.</p>

<p>Pour la distribution stable à venir (Lenny) et la distribution unstable
(Sid), ce problÚme a été corrigé dans la version 1.2.2+cvs20080623-3.</p>

<p>Nous vous recommandons de mettre à jour votre paquet rt2400.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1712.data"
# $Id: dsa-1712.wml,v 1.1 2009-01-30 20:35:08 spaillar Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>Débordement d'entier</define-tag>
<define-tag moreinfo>
<p>Il a été découvert qu'un débordement d'entier dans l'analyseur du paquet
« Probe Request » du driver de périphérique sans fil Ralinktech peut conduire à
un déni de service distant ou à l'exécution de code arbitraire.</p>

<p>Veuillez noter que vous devez recompiler votre driver depuis les sources du
paquet pour que cette mise à jour soit effective. Les instructions sont
disponibles dans le fichier /usr/share/doc/rt2500-source/README.Debian</p>

<p>Pour la distribution stable (Etch), ce problÚme a été corrigé dans la
version 1.1.0+cvs20060620-3+etch1.</p>

<p>Pour la distribution stable à venir (Lenny) et la distribution unstable
(Sid), ce problÚme a été corrigé dans la version 1:1.1.0-b4+cvs20080623-3.</p>

<p>Nous vous recommandons de mettre à jour votre paquet rt2500.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1713.data"
# $Id: dsa-1713.wml,v 1.1 2009-01-30 20:35:08 spaillar Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>Débordement d'entier</define-tag>
<define-tag moreinfo>
<p>Il a été découvert qu'un débordement d'entier dans l'analyseur du paquet
« Probe Request » du driver de périphérique sans fil Ralinktech peut conduire à
un déni de service distant ou à l'exécution de code arbitraire.</p>

<p>Veuillez noter que vous devez recompiler votre driver depuis les sources du
paquet pour que cette mise à jour soit effective. Les instructions sont
disponibles dans le fichier /usr/share/doc/rt2570-source/README.Debian</p>

<p>Pour la distribution stable (Etch), ce problÚme a été corrigé dans la
version 1.1.0+cvs20060620-3+etch1.</p>

<p>Pour la distribution stable à venir (Lenny) et la distribution unstable
(Sid), ce problÚme a été corrigé dans la version 1.1.0+cvs20080623-2.</p>

<p>Nous vous recommandons de mettre à jour votre paquet rt2570.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1714.data"
# $Id: dsa-1714.wml,v 1.1 2009-01-30 20:35:08 spaillar Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Edouard Babin"
<define-tag description>Vérification d'entrée manquante</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que l'action AttachFile dans « moin », un clone de
WikiWiki en python, est sensible aux attaques de script intersite (<a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0260";>CVE-2009-0260</a>).
Une autre faille de script intersite a été découvert dans le mécanisme
antispam (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0312";>CVE-2009-0312</a>).</p>


<p>Pour la distribution stable (Etch), ces problÚmes ont été corrigés dans la
version 1.5.3-1.2etch2.</p>

<p>Pour la distribution testing (Lenny), ces problÚmes ont été corrigés dans la
version 1.7.1-3+lenny1.</p>

<p>Pour la distribution unstable (Sid), ces problÚmes ont été corrigés dans la
version 1.8.1-1.1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets moin.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1715.data"
# $Id: dsa-1715.wml,v 1.1 2009-01-30 20:35:08 spaillar Exp $
Reply to: