[RFR] wml://security/2011/dsa-22{66,67,68,69,70,71}.wml

[David Prévot <david@tilapin.org>]

Salut,

De nouvelles annonces de sécurité ont été publiées, par avance merci
pour vos relectures.

Amicalement

David

#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Délégation incorrecte d'accréditations clientes</define-tag>
<define-tag moreinfo>
<p>
Richard Silverman a découvert que, lors d'authentification GSSAPI,
libcurl réalise une délégation d'accréditation sans condition.

Cela donne au serveur une copie des accréditations de sécurité
du client, permettant au serveur de se faire passer pour le
client n'importe où le même mécanisme GSSAPI est utilisé.

Il s'agit de toute évidence d'une opération extrêmement sensible, qui ne
devrait être réalisée qu'avec l'approbation explicite de l'utilisateur.
</p>


<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 7.18.2-8lenny5.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 7.21.0-2.</p>

<p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 7.21.6-2.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.21.6-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets curl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2271.data"
# $Id: $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>
Une vérification incorrecte des commandes de file virtio a été découverte
dans KVM, un système de virtualisation complet pour matériel x86, et
pourrait conduire à un déni de service ou à l'exécution de code arbitraire.
</p>

<p>La distribution oldstable (Lenny) n'est pas concernée par ce problème.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.12.5+dfsg-5+squeeze4.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.14.1+dfsg-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2270.data"
# $Id: dsa-2270.wml,v 1.1 2011-07-01 21:23:07 kaare Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>

<p>
Plusieurs vulnérabilités ont été découvertes dans la suite
Internet Iceape, une version sans marque de Seamonkey :
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0083";>CVE-2011-0083</a> / 
<a href="http://security-tracker.debian.org/tracker/CVE-2011-2363";>CVE-2011-2363</a>
<p>
<q>regenrecht</q> a découvert deux utilisations de mémoire après libération dans 
le traitement de SVG. Cela pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0085";>CVE-2011-0085</a>
<p>
<q>regenrecht</q> a découvert une utilisation de mémoire après libération dans
le traitement de XUL. Cela pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2362";>CVE-2011-2362</a>
<p>
David Chan a découvert que les cookies n'étaient pas suffisamment isolés.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2371";>CVE-2011-2371</a>
<p>
Chris Rohlf et Yan Ivnitskiy ont découvert un débordement d'entier dans le
moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2373";>CVE-2011-2373</a>
<p>
Martin Barbella a découvert une utilisation de mémoire après libération dans
le traitement de XUL. Cela pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2374";>CVE-2011-2374</a>
<p>
Bob Clary, Kevin Brosnan, Nils, Gary Kwong, Jesse Ruderman et
Christian Biesinger ont découvert des bogues de corruption de mémoire.
Cela peut permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2376";>CVE-2011-2376</a>
<p>
Luke Wagner et Gary Kwong ont découvert des bogues de corruption de mémoire.
Cela peut permettre l'exécution de code arbitraire.
</p></li>

</ul>

<p>
La distribution oldstable (Lenny) n'est pas concernée.

Le paquet iceape ne fournit que le code XPCOM.
</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-6.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.0.14-3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets iceape.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2269.data"
# $Id: dsa-2269.wml,v 1.1 2011-07-01 20:48:14 kaare Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>

<p>
Plusieurs vulnérabilités ont été découvertes dans
Iceweasel, un navigateur web basé sur Firefox :
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0083";>CVE-2011-0083</a>
et <a href="http://security-tracker.debian.org/tracker/CVE-2011-2363";>CVE-2011-2363</a>
<p>
<q>regenrecht</q> a découvert deux utilisations de mémoire après libération dans
le traitement de SVG. Cela pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0085";>CVE-2011-0085</a>
<p>
<q>regenrecht</q> a découvert une utilisation de mémoire après libération dans
le traitement de XUL. Cela pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2362";>CVE-2011-2362</a>
<p>
David Chan a découvert que les cookies n'étaient pas suffisamment isolés.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2371";>CVE-2011-2371</a>
<p>
Chris Rohlf et Yan Ivnitskiy ont découvert un débordement d'entier dans le
moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2373";>CVE-2011-2373</a>
<p>
Martin Barbella a découvert une utilisation de mémoire après libération dans
le traitement de XUL. Cela pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2374";>CVE-2011-2374</a>
<p>
Bob Clary, Kevin Brosnan, Nils, Gary Kwong, Jesse Ruderman et
Christian Biesinger ont découvert des bogues de corruption de mémoire.
Cela peut permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2376";>CVE-2011-2376</a>
<p>
Luke Wagner et Gary Kwong ont découvert des bogues de corruption de mémoire.
Cela peut permettre l'exécution de code arbitraire.
</p></li>

</ul>

<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.9.0.19-12 of the xulrunner source paquet.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-9.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.5.19-3.</p>

<p>Pour la distribution experimental, ce problème a été corrigé dans la version 5.0-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2268.data"
# $Id: dsa-2268.wml,v 1.1 2011-07-01 20:47:59 kaare Exp $

#use wml::debian::translation-check translation="1.3" maintainer="David Prévot"
<define-tag description>Contournement de restriction</define-tag>
<define-tag moreinfo>
<p>
On a découvert que le module Safe de Perl â?? un module pour compiler et
exécuter du code dans des compartiments restreints â?? pourrait être contourné.
</p>

<p>
Veuillez noter que cette mise à jour a pour conséquence de
casser Petal, un moteur de modèles (livré dans le paquet
libpetal-perl de Debian 6.0, Squeeze, consultez le <a
href="http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=582805";>\
bogue nº 582805</a> pour plus de précisions).

Aucun correctif n'est encore disponible.

Si vous utilisez Petal, vous pourriez
préférer garder les précédents paquets Perl.
</p>


<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 5.10.0-19lenny5.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 5.10.1-17squeeze2.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.12.3-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets perl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2267.data"
# $Id: dsa-2267.wml,v 1.2 2011-07-01 18:53:30 kaare Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>

<p>
Plusieurs vulnérabilités ont été découvertes dans PHP, qui pourraient conduire
à un déni de service ou éventuellement l'exécution de code arbitraire.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2531";>CVE-2010-2531</a>
<p>
Une fuite d'informations a été découverte dans la fonction var_export().
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0421";>CVE-2011-0421</a>
<p>
Le module Zip pourrait planter.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0708";>CVE-2011-0708</a>
<p>
Un débordement d'entier a été découvert dans le module Exif.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1466";>CVE-2011-1466</a>
<p>
Un débordement d'entier a été découverte dans le module Calendar.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1471";>CVE-2011-1471</a>
<p>
Le module Zip était prédisposé au déni de
service à l'aide d'archives malformées.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2202";>CVE-2011-2202</a>
<p>
Les noms de chemins dans les envois de fichiers à partir d'un
formulaire (RFC 1867) étaient validés de façon incorrecte.
</p></li>

</ul>

<p>
Cette mise à jour corrige aussi deux bogues, qui ne sont
pas traités comme des problèmes de sécurité, mais corrigés
néanmoins, consultez README.Debian.security pour plus de
précisions sur la portée du suivi en sécurité pour PHP
(<a href="http://security-tracker.debian.org/tracker/CVE-2011-0420";>CVE-2011-0420</a>,
<a href="http://security-tracker.debian.org/tracker/CVE-2011-1153";>CVE-2011-1153</a>).
</p>


<p>Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 5.2.6.dfsg.1-1+lenny12.</p>

<p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 5.3.3-7+squeeze3.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.3.6-12.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2266.data"
# $Id: dsa-2266.wml,v 1.2 2011-07-01 07:26:41 kaare Exp $

Attachment: signature.asc
Description: OpenPGP digital signature