[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[LCFC] wml://security/201{0/dsa-2104,1/dsa-2180}.wml



Salut,

Le 04/03/2011 00:29, JP Guillonneau a écrit :

> détails.

Intégrés merci, et par avance merci pour vos dernières remarques.

Amicalement

David

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans la suite
Internet Iceape, une version sans marque de Seamonkey :
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1585";>CVE-2010-1585</a>
<p>
Roberto Suggi Liverani a découvert que la validation
réalisée par ParanoidFragmentSink était incomplète.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0051";>CVE-2011-0051</a>
<p>
Zach Hoffmann a découvert que l'analyse incorrecte
d'appels eval() récursifs pouvait permettre aux attaquants
de forcer la confirmation dans une boîte de dialogue.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0053";>CVE-2011-0053</a>
<p>
Des plantages dans le moteur de mise en page
pourraient permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0054";>CVE-2011-0054</a>
<p>
Christian Holler a découvert des débordements de tampon dans le moteur
Javascript, ce qui pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0055";>CVE-2011-0055</a>
<p>
<q>regenrecht</q> et Igor Bukanov ont découvert une erreur d'utilisation
mémoire après libération (« use-after-free ») dans l'implémentation JSON.

Cela pourrait mener à l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0056";>CVE-2011-0056</a>
<p>
Christian Holler a découvert des débordements de tampon dans le moteur 
Javascript, ce qui pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0057";>CVE-2011-0057</a>
<p>
Daniel Kozlowski a découvert qu'un traitement incorrect de mémoire dans
l'implémentation web workers pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0059";>CVE-2011-0059</a>
<p>
Peleus Uhley a découvert un risque de requête
intersite contrefaite dans le code du greffon.
</p></li>

</ul>

<p>
La distribution oldstable (Lenny) n'est pas concernée.

Le paquet iceape ne fournit que le code XPCOM.
</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-3.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.0.12-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets iceape.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2180.data"
# $Id: dsa-2180.wml,v 1.2 2011-03-04 12:52:35 taffit-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes
dans l'implémentation BGP de Quagga, un démon de routage.
</p>

<p>Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2948";>CVE-2010-2948</a>
<p>
Lors du traitement d'un message <q>Route Refresh</q> trafiqué reçu d'un voisin
BGP configuré et authentifié, Quagga peut planter, menant à un déni de service.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2949";>CVE-2010-2949</a>
<p>
Lors du traitement de certains chemins de système autonome
(<q>AS paths</q>), Quagga pourrait planter avec un
déréférencement de pointeur NULL, menant à un déni de service.

Dans certaines configurations, de tels chemins de système autonome
pourraient être relayés par des routeurs BGP intermédiaires.
</p></li>

</ul>

<p>
De plus, cette mise à jour contient un correctif de fiabilité :
Quagga n'avertira plus les chemins de système autonome relatifs aux
confédérations aux pairs n'en faisant pas partie, et rejettera les
chemins inattendus de système autonome relatifs aux confédérations
en réinitialisant la session avec le pair BGP qui les a annoncés

(auparavant, de tels chemins de système autonome auraient déclenché
des réinitialisations de session avec des BGP indépendants).
</p>

<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 0.99.10-1lenny3.</p>

<p>Pour la distribution unstable (Sid) et la distribution testing (Squeeze), ces problèmes ont été corrigés dans la version 0.99.17-1.</p>

<p>Nous vous recommandons de mettre à jour votre paquet quagga.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2104.data"
# $Id: dsa-2104.wml,v 1.2 2011-03-04 12:52:34 taffit-guest Exp $

Attachment: signature.asc
Description: OpenPGP digital signature


Reply to: