Salut, Deux nouvelles annonces de sécurités concernant les produit Mozilla viennent d'être publiées, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans
Iceweasel, un navigateur web basé sur Firefox.
La bibliothèque XULRunner embarquée fournit des services de
rendu pour plusieurs autres applications inclues dans Debian.
</p>
<ul>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1585";>CVE-2010-1585</a>
<p>
Roberto Suggi Liverani a découvert que la vérification
réalisée par ParanoidFragmentSink était incomplète.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0051";>CVE-2011-0051</a>
<p>
Zach Hoffmann a découvert que l'analyse incorrecte
d'appels eval() récursifs pouvait permettre aux attaquants
de forcer la confirmation d'une boîte de dialogue.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0053";>CVE-2011-0053</a>
<p>
Des plantages dans le moteur de mise en page
peut permettre l'exécution de code arbitraire.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0054";>CVE-2011-0054</a>,
<a href="http://security-tracker.debian.org/tracker/CVE-2010-0056";>CVE-2010-0056</a>
<p>
Christian Holler a découvert des débordements de tampon dans le moteur
Javascript qui peuvent permettre l'exécution de code arbitraire.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0055";>CVE-2011-0055</a>
<p>
<q>regenrecht</q> et Igor Bukanov ont découvert une erreur d'utilisation de
mémoire après libération (<q>use-after-free</q>) dans l'implémentation de JSON.
Cela pourrait permettre l'exécution de code arbitraire.</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0057";>CVE-2011-0057</a>
<p>
Daniel Kozlowski a découvert que l'implémentation incorrecte de mémoire traitant
les <q>web workers</q> pourrait permettre l'exécution de code arbitraire.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0059";>CVE-2011-0059</a>
<p>
Peleus Uhley a découvert un risque de requête
intersite contrefaite dans le code des plugins.
</p></li>
</ul>
<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.9.0.19-8 du paquet source xulrunner.</p>
<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-5.</p>
<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.5.17-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2186.data"
# $Id: dsa-2186.wml,v 1.1 2011-03-10 14:27:36 taffit-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans Icedove, une
version sans marque du client de messagerie et de news Thunderbird.
</p>
<ul>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1585";>CVE-2010-1585</a>
<p>
Roberto Suggi Liverani a découvert que la vérification
réalisée par ParanoidFragmentSink était incomplète.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0051";>CVE-2011-0051</a>
<p>
Zach Hoffmann a découvert que l'analyse incorrecte
d'appels eval() récursifs pouvait permettre aux attaquants
de forcer la confirmation d'une boîte de dialogue.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0053";>CVE-2011-0053</a>
<p>
Des plantages dans le moteur de mise en page
peut permettre l'exécution de code arbitraire.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0054";>CVE-2011-0054</a>,
<a href="http://security-tracker.debian.org/tracker/CVE-2010-0056";>CVE-2010-0056</a>
<p>
Christian Holler a découvert des débordements de tampon dans le moteur
Javascript qui peuvent permettre l'exécution de code arbitraire.
</p></li>
><a href="http://security-tracker.debian.org/tracker/CVE-2011-0055";>CVE-2011-0055</a>
<p>
<q>regenrecht</q> et Igor Bukanov ont découvert une erreur d'utilisation de
mémoire après libération (<q>use-after-free</q>) dans l'implémentation de JSON.
Cela pourrait permettre l'exécution de code arbitraire.</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0057";>CVE-2011-0057</a>
<p>
Daniel Kozlowski a découvert que l'implémentation incorrecte de mémoire traitant
les <q>web workers</q> pourrait permettre l'exécution de code arbitraire.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0059";>CVE-2011-0059</a>
<p>
Peleus Uhley a découvert un risque de requête
intersite contrefaite dans le code des plugins.
</p></li>
</ul>
<p>
Conformément aux notes de publication de Lenny (oldstable), le suivi
en sécurité des paquets Icedove de oldstable a dû être arrêté avant
la fin du cycle de vie normal de Lenny en terme de suivi en sécurité.
Nous vous recommandons fortement de mettre à niveau vers
stable, ou de basculer vers un autre client de messagerie.
</p>
<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze1.</p>
<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.0.11-2.</p>
<p>Nous vous recommandons de mettre à jour vos paquets icedove.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2187.data"
# $Id: dsa-2187.wml,v 1.1 2011-03-10 14:27:32 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature