Salut, Voici encore quelques annonces de sécurité de l'an passé, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans Xulrunner, un environnement d'exécution pour les applications XUL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants : </p> <p> Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.9.0.19-7. </p> <p> Pour la prochaine distribution stable (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.5.15-1. </p> <p> Pour la distribution experimental, ces problèmes ont été corrigés dans la version 3.6.13-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets xulrunner. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2132.data"
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans BIND, une implémentation de l'ensemble des protocoles DNS. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3762";>CVE-2010-3762</a> <p> Lorsque la validation DNSSEC est activée, BIND ne traite pas correctement de mauvaises signatures si plusieurs ancres de confiance existent pour une seule zone, ce qui permet à des attaquants distants de provoquer un déni de service (plantage de serveur) à l'aide d'une requête DNS. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3614";>CVE-2010-3614</a> <p> BIND ne détermine pas correctement l'état de sécurité d'un RRset NS pendant un retournement d'algorithme DNSKEY, qui peut conduire à une invalidité de zone pendant les retournements. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3613";>CVE-2010-3613</a> <p> BIND ne traite pas correctement la combinaison de réponses négatives signées et d'enregistrements RRSIG correspondants dans le cache, ce qui permet à des attaquants distants de provoquer un déni de service (plantage de serveur) à l'aide d'une requête pour donnée en cache. </p></li> </ul> <p> De plus, cette mise à jour de sécurité améliore la compatibilité avec les versions précédemment installées du paquet bind9. Par conséquent, il faut commencer la mise à jour avec « apt-get dist-upgrade » au lieu de « apt-get update ». </p> <p> Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1:9.6.ESV.R3+dfsg-0+lenny1. </p> <p> Pour la prochaine distribution stable (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:9.7.2.dfsg.P3-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets bind9. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2130.data"
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>exécution de code arbitraire</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans exim4 permettant à un attaquant distant d'exécuter du code arbitraire en tant que superutilisateur. De nombreuses exploitations de ces problèmes ont été vues. </p> <p> Cette mise à jour apporte une solution à un problème de corruption de mémoire permettant à un attaquant distant d'exécuter du code arbitraire en tant qu'utilisateur Debian-exim (<a href="http://security-tracker.debian.org/tracker/CVE-2010-4344";>CVE-2010-4344</a>). </p> <p> Une correction pour un problème supplémentaire permettant à l'utilisateur Debian-exim d'obtenir les droits du superutilisateur (<a href="http://security-tracker.debian.org/tracker/CVE-2010-4345";>CVE-2010-4345</a>) est en cours de vérification pour des problèmes de compatibilité. Elle n'est pas comprise dans cette mise à niveau mais sera bientôt publiée dans le cadre d'une mise à jour de cette annonce. </p> <p> Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 4.69-9+lenny1. </p> <p> Cette annonce ne concerne que les paquets pour les architectures alpha, amd64, hppa, i386, ia64, powerpc, et s390 Les paquets pour les architectures arm, armel, mips, mipsel, et sparc seront publiés dès qu'ils seront construits. </p> <p> Pour la distribution testing (Squeeze), et la distribution unstable (Sid), ce problème a été corrigé dans la version 4.70-1. </p> <p> Nous vous recommandons vivement de mettre à jour vos paquets exim4. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2131.data"
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>déni de service</define-tag> <define-tag moreinfo> <p> Il a été découvert que collectd, un démon de supervision et de collecte statistique, est sujet à une attaque par déni de service par l'intermédiaire de paquet réseau trafiqué. </p> <p> Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 4.4.2-3+lenny1. </p> <p> Pour la distribution testing (Squeeze), ce problème a été corrigé dans la version 4.10.1-1+squeeze2. </p> <p> Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.10.1-2.1. </p> <p> Cette annonce ne concerne que les paquets pour les architectures alpha, amd64, arm, armel, hppa, i386, ia64, mips, powerpc, s390 et sparc. Les paquets pour l'architecture mipsel seront bientôt publiés. </p> <p> Nous vous recommandons de mettre à jour vos paquets collectd. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2133.data"
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>futures modifications dans le format des annonces</define-tag> <define-tag moreinfo> <p> Les annonces de sécurité Debian comprennent traditionnellement les sommes de contrôle MD5 des paquets mis à jour. Cela a été introduit à une époque où apt n'existait pas encore et où BIND était en version 4. </p> <p> Depuis qu'apt renforce maintenant cryptographiquement l'intégrité de l'archive depuis un bon moment, nous avons décidé d'abandonner définitivement les de sommes de contrôle de nos messages d'annonce. </p> <p> Nous allons aussi modifier quelques détails du format d'annonce dans les prochains mois. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2134.data"
Attachment:
signature.asc
Description: OpenPGP digital signature