Le 13/05/2011 04:21, Cédric Boutillier a écrit : > Quelques détails. Intégrés merci (avec un autre « aux moyens » transformé au singulier). Par avance merci pour vos dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Injection de commande</define-tag> <define-tag moreinfo> <p> On a découvert qu'Exim, l'agent de transport de courrier par défaut de Debian, est vulnérable aux attaques d'injection de commande dans son code de traitement DKIM, menant à l'exécution de code arbitraire (<a href="http://security-tracker.debian.org/tracker/CVE-2011-1407">CVE-2011-1407</a>) </p> <p> La configuration par défaut fournie par Debian n'est pas sujette à cette vulnérabilité. </p> <p>La distribution oldstable (Lenny) n'est pas concernée par ce problème.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4.72-6+squeeze2.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.76-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets exim4.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2236.data" # $Id: dsa-2236.wml,v 1.1 2011-05-12 20:54:57 taffit-guest Exp $
#use wml::debian::translation-check translation="1.4" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans PHP 5, un préprocesseur hypertexte. Le projet « Common Vulnerabilities et Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1917">CVE-2010-1917</a> <p> La fonction fnmatch peut être utilisée pour conduire des attaques par déni de service (en plantant l'interpréteur) au moyen d'un débordement de pile. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2225">CVE-2010-2225</a> <p> Le convertisseur (<q>unserializer</q>) SplObjectStorage permet à des attaquants d'exécuter du code arbitraire à l'aide de données linéarisées au moyen d'une vulnérabilité d'utilisation de mémoire après libération. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3065">CVE-2010-3065</a> <p> le convertisseur (<q>serializer</q>) de sessions par défaut ne gère pas correctement un marqueur particulier. Cela permet à un attaquant d'injecter des variables arbitraires dans la session et d'exploiter éventuellement les vulnérabilités du convertisseur (<q>unserializer</q>). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1128">CVE-2010-1128</a> <p> Pour cette vulnérabilité (entropie prévisible pour le générateur congruentiel linéaire utilisé pour créer les identifiants de session) nous considérons que la solution adoptée en amont n'est pas suffisante. Nous recommandons de décommenter les réglages <q>session.entropy_file</q> et <q>session.entropy_length</q> dans les fichiers php.ini. D'autres améliorations peuvent être réalisées en réglant <q>session.hash_function</q> à 1 (un) et en incrémentant la valeur de <q>session.entropy_length</q>. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 5.2.6.dfsg.1-1+lenny9.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets php5.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2089.data" # $Id: dsa-2089.wml,v 1.2 2011-05-13 15:05:35 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> On a découvert que PCSCD, un démon pour accéder à une carte à puce, était vulnérable à un débordement de mémoire tampon permettant à un attaquant local d'augmenter ses droits au niveau du superutilisateur. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.4.102-1+lenny1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.5.4-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet pcsc-lite.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2059.data" # $Id: dsa-2059.wml,v 1.2 2011-05-13 15:05:34 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature