Le 04/03/2011 15:48, Côme Borsoi a écrit : > Le 03/03/2011 18:33, David Prévot a écrit : >> Salut, >> >> Je continue doucement la mise à jour de vielles annonces de sécurité, >> par avance merci pour vos relectures. s/vielles/vieilles/ > quelques suggestions, debian-volatile n'est-il pas remplacé par > squeeze-updates? Oui, mais ce n'était pas le cas en 2010 lorsque cette annonce a été publiée. Merci en tout cas à toi ainsi qu'à Jean-Paul, j'ai pris tout le reste, renvoie les fichiers vu qu'il commence à y avoir pas mal de modifications, et vous remercie d'avance pour d'autres relectures. Amicalement David
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans Moodle, un système de gestion de cours. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1613";>CVE-2010-1613</a> <p> Moodle n'active pas le réglage <q>Regénération de l'identifiant de session lors de la connexion</q> par défaut, ce qui facilite les attaques à distance par fixation de session. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1614";>CVE-2010-1614</a> <p> Plusieurs vulnérabilités de script intersite (XSS) permettent aux attaquants distants d'injecter des scripts web arbitraires ou du HTML par des moyens liés (1) à la fonctionnalité de <q>connexion en tant que</q> ou (2) quand la fonctionnalité de recherche globale est activée, à des formulaires de recherche globale non remplis dans le moteur de recherche global. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1615";>CVE-2010-1615</a> <p> Plusieurs vulnérabilités d'injection SQL permettent à des attaquants distants d'exécuter des commandes SQL arbitraires par des moyens liés à (1) la fonction add_to_log de mod/wiki/view.php dans le module de wiki ou (2) <q>validation de données dans certains éléments de formulaires</q> liés à lib/form/selectgroups.php. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1616";>CVE-2010-1616</a> <p> Moodle peut créer de nouveaux rôles lors du rétablissement d'un cours, ce qui permet aux enseignants de créer de nouveaux comptes même s'ils n'ont pas la capacité moodle/user:create. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1617";>CVE-2010-1617</a> <p> user/view.php ne vérifie pas correctement un rôle, ce qui permet à des utilisateurs authentifiés distants d'obtenir les noms complets des autres utilisateurs à l'aide de la page de profil du cours. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1618";>CVE-2010-1618</a> <p> Une vulnérabilité de script intersite (XSS) dans la bibliothèque cliente phpCAS permet à des attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide d'une URL trafiquée, ce qui n'est pas correctement géré dans un message d'erreur. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1619";>CVE-2010-1619</a> <p> Une vulnérabilité de script intersite (XSS) dans la fonction fix_non_standard_entities de la bibliothèque de nettoyage de texte HTML KSES (weblib.php) permet à des attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide d'entités HTML trafiquées. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2228";>CVE-2010-2228</a> <p> Une vulnérabilité de script intersite (XSS) dans l'interface de contrôle d'accès MNET permet à des attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide de moyens impliquant les caractères étendus dans un identifiant. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2229";>CVE-2010-2229</a> <p> Plusieurs vulnérabilités de script intersite (XSS) dans blog/index.php permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide de paramètres indéterminés. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2230";>CVE-2010-2230</a> <p> Le filtre de nettoyage de texte KSES de lib/weblib.php ne gère pas correctement les URI vbscript, ce qui permet à des utilisateurs authentifiés distants de réaliser des attaques par script intersite (XSS) en entrant du HTML. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2231";>CVE-2010-2231</a> <p> Une vulnérabilité de requête intersite contrefaite (CSRF) dans report/overview/report.php dans le module test permet à des attaquants distants de détourner l'authentification d'utilisateurs arbitraires pour les requêtes qui effacent les tentatives de test à l'aide du paramètre attemptid. </p></li> </ul> <p> Cette mise à jour de sécurité bascule vers une nouvelle version amont qui exige des mises à jour de base de données. Après l'installation du paquet corrigé, vous devez vous rendre en <http://localhost/moodle/admin/> et suivre les instructions de mise à jour. </p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.8.13-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.9.dfsg2-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet moodle.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2115.data" # $Id: dsa-2115.wml,v 1.2 2011-03-03 21:20:17 taffit-guest Exp $
#use wml::debian::translation-check translation="1.4" maintainer="David Prévot" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> La mise à jour de Debian 5.0.6 contient des paquets mis à jour du système de gestion de version Git pour corriger un problème de sécurité. Malheureusement, la mise à jour introduit une régression qui pourrait empêcher le clonage et la création de dépôts Git. Cette mis à jour corrige cette régression, qui est suivie dans le <a href="http://bugs.debian.org/595728";>bogue Debian nº 595728</a>. </p> <p> Le problème de sécurité initial permettait à un attaquant d'exécuter du code arbitraire s'il amenait un utilisateur local à exécuter une commande git dans un répertoire de travail trafiqué (<a href="http://security-tracker.debian.org/tracker/CVE-2010-2542";>CVE-2010-2542</a>). </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.5.6.5-3+lenny3.2.</p> <p> Les paquets pour l'architecture hppa ne font pas partie de cette annonce. Cependant, l'architecture hppa n'est pas censée être affectée par cette régression. </p> <p> Pour la distribution testing (Squeeze) et la distribution unstable (Sid), le problème de sécurité a été corrigé dans la version 1.7.1-1.1. Ces distributions ne sont pas concernées par la régression. </p> <p>Nous vous recommandons de mettre à jour vos paquets git-core.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2114.data" # $Id: dsa-2114.wml,v 1.1 2011-03-03 17:27:49 taffit-guest Exp $
#use wml::debian::translation-check translation="1.4" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Drupal 6 un système de gestion de contenu complet. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3091";>CVE-2010-3091</a> <p> Plusieurs vulnérabilités ont été découvertes dans le module OpenID qui permet des accès malveillants aux comptes des utilisateurs. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3092";>CVE-2010-3092</a> <p> Le module d'envoi de fichiers contient un contournement possible des restrictions d'accès à cause d'un manque de vérification de la casse. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3093";>CVE-2010-3093</a> <p> Le module de commentaire est victime d'un problème d'augmentation de privilèges qui permet à certains utilisateurs de contourner les limites. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3094";>CVE-2010-3094</a> <p> Plusieurs vulnérabilités de script intersite (XSS) ont été découvertes dans la fonctionnalité Action. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 6.6-3lenny6.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 6.18-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets drupal6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2113.data" # $Id: dsa-2113.wml,v 1.1 2011-03-03 17:27:47 taffit-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Débordement d'entier</define-tag> <define-tag moreinfo> <p> Mikolaj Izdebski a découvert un défaut de débordement d'entier dans la fonction BZ2_decompress de bzip2 et libbz2. Un attaquant pourrait utiliser un fichier .bz2 pour provoquer un déni de service (plantage d'application) ou éventuellement exécuter du code arbitraire (<a href="http://security-tracker.debian.org/tracker/CVE-2010-0405";>CVE-2010-0405</a>). </p> <p> Après la mise à niveau, tous les services en cours d'exécution utilisant libbz2 doivent être redémarrés. </p> <p> Cette mise à jour fournit aussi les paquets dpkg reconstruits, qui sont liés statiquement à une version donnée de libbz2. Les paquets mis à jour de clamav, qui est aussi concerné par ce problème, seront fournis sur debian-volatile. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.0.5-1+lenny1.</p> <p> Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème dans bzip2 sera corrigé prochainement. Des paquets dpkg mis à jour ne sont pas nécessaires pour testing et unstable. </p> <p>Nous vous recommandons de mettre à jour vos paquets bzip2 et dpkg.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2112.data" # $Id: dsa-2112.wml,v 1.1 2011-03-03 17:28:35 taffit-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> Phil Oester a découvert que Squid-3, un serveur mandataire (proxy) et cache pour le web complet, est prédisposé à une attaque par déni de service à l'aide d'une requête comprenant des chaînes vides. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 3.0.STABLE8-3+lenny4.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.1.6-1.1.</p> <p>Nous vous recommandons de mettre à jour vos paquets squid3.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2111.data" # $Id: dsa-2111.wml,v 1.1 2011-03-03 17:27:47 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature