Le 20/02/2011 17:02, JP Guillonneau a écrit : > Bonsoir, > > suggestions. Intégrées, merci, et par avance merci pour vos dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le navigateur Chromium. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0777";>CVE-2011-0777</a> <p> Une vulnérabilité d'utilisation mémoire après libération (« Use-after-free ») dans Google Chrome avant la version 9.0.597.84 permet aux attaquants distants de provoquer un déni de service ou éventuellement d'autres conséquences indéterminées par des moyens liés au chargement d'images. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0778";>CVE-2011-0778</a> <p> Google Chrome avant la version 9.0.597.84 ne restreint pas correctement les opérations de glissé et déposé, ce qui peut permettre à des attaquants distants de contourner la politique de même origine (« Same Origin Policy ») par des moyens indéterminés. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0783";>CVE-2011-0783</a> <p> Une vulnérabilité non précisée dans Google Chrome avant la version 9.0.597.84 permet à des attaquants distants aidés par l'utilisateur de provoquer un déni de service (plantage de l'application) par des moyens impliquant un <q>mauvais réglage de volume</q> </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0983";>CVE-2011-0983</a> <p> Google Chrome avant la version 9.0.597.94 ne traite pas correctement les blocs anonymes, ce qui permet aux attaquants distants de provoquer un déni de service ou éventuellement un autre impact indéterminé par des moyens indéterminés pouvant mener à un <q>pointeur bancal</q>. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0981";>CVE-2011-0981</a> <p> Google Chrome avant la version 9.0.597.94 ne réalise pas correctement le traitement d'évènements pour les animations, ce qui permet aux attaquants distants de provoquer un déni de service ou éventuellement d'autres conséquences indéterminées par des moyens indéterminés pouvant mener à un <q>pointeur bancal</q>. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0984";>CVE-2011-0984</a> <p> Google Chrome avant la version 9.0.597.94 ne traite pas correctement les greffons, ce qui permet aux attaquants distants de provoquer un déni de service (lecture hors limite) par des moyens indéterminés. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0985";>CVE-2011-0985</a> <p> Google Chrome avant la version 9.0.597.94 ne termine pas correctement le processus lors du remplissage de la mémoire, avec des conséquences indéterminées et des moyens d'attaque distante. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 6.0.472.63~r59945-5+squeeze2.</p> <p>Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 9.0.597.98~r74359-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets chromium-browser.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2166.data" # $Id: dsa-2166.wml,v 1.3 2011-02-20 21:13:05 taffit-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Débordement de tampon</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans les codeurs FFmpeg utilisés par MPlayer et d'autres applications. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3429";>CVE-2010-3429</a> <p> Cesar Bernardini et Felipe Andres Manzano ont signalé une vulnérabilité de déréférencement arbitraire d'adresse dans libavcodec, en particulier dans l'analyseur du format de fichier FLIC. Un fichier FLIC particulier pourrait utiliser cette vulnérabilité pour exécuter du code arbitraire. Mplayer est également affecté par ce problème, ainsi que les autres logiciels utilisant cette bibliothèque. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4704";>CVE-2010-4704</a> <p> Greg Maxwell a découvert un débordement d'entier dans le décodeur Vorbis de FFmpeg. Un fichier Ogg particulier pourrait utiliser cette vulnérabilité pour exécuter du code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4705";>CVE-2010-4705</a> <p> On a découvert un débordement d'entier possible dans le décodeur Vorbis de FFmpeg. </p></li> </ul> <p> Cette mise à jour corrige également un correctif incomplet introduit en DSA-2000-1. Michael Gilbert a remarqué qu'il restait des vulnérabilités, ce qui peut provoquer un déni de service et éventuellement l'exécution de code arbitraire. </p> <p> Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.svn20080206-18+lenny3. </p> <p> Nous vous recommandons de mettre à jour vos paquets ffmpeg-debian. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2165.data"
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Vérification insuffisante des entrées</define-tag> <define-tag moreinfo> <p> Kees Cook a découvert que les utilitaires chfn et chsh ne vérifient pas les entrées d'utilisateurs qui contiennent des retours à la ligne. Un attaquant pourrait utiliser cela pour corrompre les entrées de mots de passe et créer des utilisateurs ou des groupes dans les environnements NIS. </p> <p> Les paquets de la distribution oldstable (Lenny) ne sont pas concernés par ce problème. </p> <p> Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1:4.1.4.2+svn3283-2+squeeze1. </p> <p> Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour vos paquets shadow. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2164.data"
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Validations des entrées insuffisantes</define-tag> <define-tag moreinfo> <p> On a découvert que telepathy-gabble, le gestionnaire de connexion Jabber/XMMP pour la structure Telepathy, traite les mises à jour google:jingleinfo sans validation de leur origine. Cela peut permettre à un attaquant de duper telepathy-gabble en le faisant relayer des données de flux de média vers un serveur de son choix et intercepter ainsi des appels audio et vidéo. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.7.6-1+lenny1.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.9.15-1+squeeze1.</p> <p>Pour les distributions testing (Wheezy) et unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets telepathy-gabble.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2169.data" # $Id: dsa-2169.wml,v 1.1 2011-02-18 23:23:24 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Deux vulnérabilités ont été découvertes dans le système de fichiers distribué AFS : </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0430";>CVE-2011-0430</a> <p> Andrew Deason a découvert une double libération de zone de mémoire dans le processus du serveur Rx pouvant permettre un déni de service ou l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0431";>CVE-2011-0431</a> <p> On a découvert qu'un traitement d'erreurs insuffisant dans le module du noyau peut permettre un déni de service. </p></li> </ul> <p> Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.4.7.dfsg1-6+lenny4. � cause d'un problème technique dans l'infrastructure du service d'empaquetage, la mise à jour n'est pas encore disponible, mais elle sera intégrée à l'archive au plus tôt. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.4.12.1+dfsg-4.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.14+dfsg-1.</p> <p> Nous vous recommandons de mettre à jour vos paquets openafs. Veuillez remarquer que pour appliquer cette mise à jour de sécurité, vous devez recompiler le module de noyau OpenAFS. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2168.data" # $Id: dsa-2168.wml,v 1.1 2011-02-18 23:23:21 taffit-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Injection SQL</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un outil pour administrer MySQL par le web, lorsque la fonctionnalité de marque-pages est activée, permettant de créer une requête qui serait exécutée par les autres utilisateurs à leur insu. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 4:2.11.8.1-5+lenny8.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4:3.3.7-5.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 4:3.3.9.2-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets phpmyadmin.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2167.data" # $Id: dsa-2167.wml,v 1.1 2011-02-18 23:23:14 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature