[RFR] wml://security/201{0/dsa-1989,1/dsa-2233,1/dsa-2234,1/dsa-2235}.wml

[David Prévot <david@tilapin.org>]

Salut,

Trois mises à jour de sécurité ont été mises en ligne, et j'en ai
traduit une plus vieille pour récupérer le retard, par avance merci
pour vos relectures. Je n'ai pas compris grand chose à la 2234, si vous
y entendez un peu plus que moi à Python, ou simplement si vous êtes
mieux réveillé, n'hésitez pas à me corriger sévèrement.

Amicalement

David


#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>

<p>
Plusieurs vulnérabilités ont été découvertes dans Icedove, une version sans
marque du client de courrier électronique et lecteur de nouvelles Thunderbird.
</p>

<ul>

<li>
<a href="http://security-tracker.debian.org/tracker/CVE-2011-0069";>CVE-2011-0069</a> 
<a href="http://security-tracker.debian.org/tracker/CVE-2011-0070";>CVE-2011-0070</a> 
<a href="http://security-tracker.debian.org/tracker/CVE-2011-0072";>CVE-2011-0072</a> 
<a href="http://security-tracker.debian.org/tracker/CVE-2011-0074";>CVE-2011-0074</a> 
<a href="http://security-tracker.debian.org/tracker/CVE-2011-0075";>CVE-2011-0075</a> 
<a href="http://security-tracker.debian.org/tracker/CVE-2011-0077";>CVE-2011-0077</a> 
<a href="http://security-tracker.debian.org/tracker/CVE-2011-0078";>CVE-2011-0078</a> 
<a href="http://security-tracker.debian.org/tracker/CVE-2011-0080";>CVE-2011-0080</a> 
<a href="http://security-tracker.debian.org/tracker/CVE-2011-0081";>CVE-2011-0081</a>
<p>
<q>Scoobidiver</q>, Ian Beer Bob Clary, Henri Sivonen, Marco
Bonardo, Mats Palmgren, Jesse Ruderman, Aki Kelin et Martin
Barbella ont découvert des bogues de corruption de mémoire.

Cela pourrait conduire à l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0065";>CVE-2011-0065</a> 
<a href="http://security-tracker.debian.org/tracker/CVE-2011-0066";>CVE-2011-0066</a> 
<a href="http://security-tracker.debian.org/tracker/CVE-2011-0073";>CVE-2011-0073</a>
<p>
<q>regenrecht</q> a découvert plusieurs vulnérabilités de pointeur bancal.

Cela pourrait conduire à l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0067";>CVE-2011-0067</a>
<p>
Paul Stone a découvert que des appliquettes Java pourraient voler
des renseignements à partir de l'historique d'autocomplétion.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0071";>CVE-2011-0071</a>
<p>
Soroush Dalili a découvert une vulnérabilité de traversée
de répertoires dans le traitement des URI de ressource.
</p></li>

</ul>

<p>
Conformément aux notes de publication de Lenny (oldstable), le suivi
en sécurité des paquets Icedove de oldstable a dû être arrêté avant
la fin du cycle de vie normal de Lenny en terme de suivi en sécurité.

Nous vous recommandons fortement de mettre à niveau vers
stable, ou de basculer vers un autre client de messagerie.
</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze2.</p>

<p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p>

<p>Nous vous recommandons de mettre à jour vos paquets icedove.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2235.data"
# $Id: dsa-2235.wml,v 1.1 2011-05-10 20:34:00 kaare Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes 
dans python-zodb, un ensemble d'outils pour utiliser ZODB.

Cela pourrait conduire à l'exécution de code arbitraire dans le pire des cas.

Le projet « Common Vulnerabilities et Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0668";>CVE-2009-0668</a>
<p>
Le serveur ZEO ne restreint pas les callables lors de la reconstruction
(<q>unpickling</q>) de données venant d'un client malveillant.

Cela peut être utilisé par un attaquant afin d'exécuter du code Python
arbitraire sur le serveur en envoyant certains pickles d'exception.

Cela permet aussi à un attaquant d'importer n'importe quel module
disponible car ZEO importe le module contenant un callable
indiqué dans un pickle pour la recherche d'une certaine option.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0669";>CVE-2009-0669</a>
<p>
� cause d'une erreur de programmation, une méthode d'autorisation dans le
composant StorageServer de ZEO n'était pas utilisé comme méthode interne.

Cela permet à un client malveillant de contourner l'authentification lors de la
connexion à un serveur ZEO en appelant simplement cette méthode d'autorisation.
</p></li>

</ul>

<p>
La mise à jour limite également le nombre de nouveaux identifiants d'objets
qu'un client peut demander à 100 car il serait possible de consommer une grande
quantité de ressources en demandant une grande quantité d'identifiants d'objets.

Aucun identifiant CVE n'a été attribué à cela.
</p>

<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1:3.6.0-2+lenny3.</p>

<p>La distribution stable (Squeeze) n'est pas concernée,
elle a été corrigée avant la publication officielle.
</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:3.8.2-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets zodb.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2234.data"
# $Id: dsa-2234.wml,v 1.1 2011-05-10 19:16:20 kaare Exp $

#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes
dans Postfix, un agent de transport de courrier.

Le projet « Common Vulnerabilities et Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2939";>CVE-2009-2939</a>
<p>
Le script de fin d'installation donne à l'utilisateur 
postfix un accès en écriture à /var/spool/postfix/pid.

Cela pourrait permettre à des utilisateurs locaux de mener des
attaques de lien symbolique qui écrasent des fichiers arbitraires.
</p></li>


<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0411";>CVE-2011-0411</a>
<p>
L'implémentation STARTTLS ne restreint pas
la mise en tampon des entrées et sorties.

Cela permet à des attaquants en homme du milieu d'insérer des
commandes dans des sessions SMTP chiffrées en envoyant une
commande en clair qui est traitée après la mise en place de TLS.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1720";>CVE-2011-1720</a>
<p>
Un débordement de mémoire tampon basée sur le tas en lecture seule
permet à des clients malveillants de planter le processus de serveur
smtpd en utilisant une requête d'authentification SASL trafiquée.
</p></li>

</ul>

<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.5.5-1.1+lenny1.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.7.1-1+squeeze1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.8.0-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets postfix.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2233.data"
# $Id: dsa-2233.wml,v 1.1 2011-05-10 18:28:04 kaare Exp $

#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Déni de service</define-tag>
<define-tag moreinfo>
<p>
Dan Rosenberg a découvert une situation de compétition
dans FUSE, un système de fichiers pour espace utilisateur.

Un attaquant local, avec accès à l'utilisation de FUSE, pourrait démonter
des points de montage arbitraires, avec pour résultat un déni de service.
</p>


<p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 2.5.3-4.4+etch1.</p>

<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.7.4-1.1+lenny1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.8.1-1.2, qui migrera bientôt vers la distribution testing (Squeeze).</p>

<p>Nous vous recommandons de mettre à jour vos paquets fuse.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-1989.data"
# $Id: dsa-1989.wml,v 1.1 2010-02-02 23:14:44 spaillard Exp $

Attachment: signature.asc
Description: OpenPGP digital signature