Salut, De nouvelles annonces de sécurité ont été publiées, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Délégation incorrecte d'accréditations clientes</define-tag> <define-tag moreinfo> <p> Richard Silverman a découvert que, lors d'authentification GSSAPI, libcurl réalise une délégation d'accréditation sans condition. Cela donne au serveur une copie des accréditations de sécurité du client, permettant au serveur de se faire passer pour le client n'importe où le même mécanisme GSSAPI est utilisé. Il s'agit de toute évidence d'une opération extrêmement sensible, qui ne devrait être réalisée qu'avec l'approbation explicite de l'utilisateur. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 7.18.2-8lenny5.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 7.21.0-2.</p> <p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 7.21.6-2.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.21.6-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets curl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2271.data" # $Id: $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Une vérification incorrecte des commandes de file virtio a été découverte dans KVM, un système de virtualisation complet pour matériel x86, et pourrait conduire à un déni de service ou à l'exécution de code arbitraire. </p> <p>La distribution oldstable (Lenny) n'est pas concernée par ce problème.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.12.5+dfsg-5+squeeze4.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.14.1+dfsg-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2270.data" # $Id: dsa-2270.wml,v 1.1 2011-07-01 21:23:07 kaare Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans la suite Internet Iceape, une version sans marque de Seamonkey : </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0083">CVE-2011-0083</a> / <a href="http://security-tracker.debian.org/tracker/CVE-2011-2363">CVE-2011-2363</a> <p> <q>regenrecht</q> a découvert deux utilisations de mémoire après libération dans le traitement de SVG. Cela pourrait permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0085">CVE-2011-0085</a> <p> <q>regenrecht</q> a découvert une utilisation de mémoire après libération dans le traitement de XUL. Cela pourrait permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2362">CVE-2011-2362</a> <p> David Chan a découvert que les cookies n'étaient pas suffisamment isolés. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2371">CVE-2011-2371</a> <p> Chris Rohlf et Yan Ivnitskiy ont découvert un débordement d'entier dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2373">CVE-2011-2373</a> <p> Martin Barbella a découvert une utilisation de mémoire après libération dans le traitement de XUL. Cela pourrait permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2374">CVE-2011-2374</a> <p> Bob Clary, Kevin Brosnan, Nils, Gary Kwong, Jesse Ruderman et Christian Biesinger ont découvert des bogues de corruption de mémoire. Cela peut permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2376">CVE-2011-2376</a> <p> Luke Wagner et Gary Kwong ont découvert des bogues de corruption de mémoire. Cela peut permettre l'exécution de code arbitraire. </p></li> </ul> <p> La distribution oldstable (Lenny) n'est pas concernée. Le paquet iceape ne fournit que le code XPCOM. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-6.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.0.14-3.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceape.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2269.data" # $Id: dsa-2269.wml,v 1.1 2011-07-01 20:48:14 kaare Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox : </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0083">CVE-2011-0083</a> et <a href="http://security-tracker.debian.org/tracker/CVE-2011-2363">CVE-2011-2363</a> <p> <q>regenrecht</q> a découvert deux utilisations de mémoire après libération dans le traitement de SVG. Cela pourrait permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0085">CVE-2011-0085</a> <p> <q>regenrecht</q> a découvert une utilisation de mémoire après libération dans le traitement de XUL. Cela pourrait permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2362">CVE-2011-2362</a> <p> David Chan a découvert que les cookies n'étaient pas suffisamment isolés. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2371">CVE-2011-2371</a> <p> Chris Rohlf et Yan Ivnitskiy ont découvert un débordement d'entier dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2373">CVE-2011-2373</a> <p> Martin Barbella a découvert une utilisation de mémoire après libération dans le traitement de XUL. Cela pourrait permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2374">CVE-2011-2374</a> <p> Bob Clary, Kevin Brosnan, Nils, Gary Kwong, Jesse Ruderman et Christian Biesinger ont découvert des bogues de corruption de mémoire. Cela peut permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2376">CVE-2011-2376</a> <p> Luke Wagner et Gary Kwong ont découvert des bogues de corruption de mémoire. Cela peut permettre l'exécution de code arbitraire. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.9.0.19-12 of the xulrunner source paquet.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-9.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.5.19-3.</p> <p>Pour la distribution experimental, ce problème a été corrigé dans la version 5.0-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2268.data" # $Id: dsa-2268.wml,v 1.1 2011-07-01 20:47:59 kaare Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Contournement de restriction</define-tag> <define-tag moreinfo> <p> On a découvert que le module Safe de Perl â?? un module pour compiler et exécuter du code dans des compartiments restreints â?? pourrait être contourné. </p> <p> Veuillez noter que cette mise à jour a pour conséquence de casser Petal, un moteur de modèles (livré dans le paquet libpetal-perl de Debian 6.0, Squeeze, consultez le <a href="http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=582805">\ bogue nº 582805</a> pour plus de précisions). Aucun correctif n'est encore disponible. Si vous utilisez Petal, vous pourriez préférer garder les précédents paquets Perl. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 5.10.0-19lenny5.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 5.10.1-17squeeze2.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.12.3-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets perl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2267.data" # $Id: dsa-2267.wml,v 1.2 2011-07-01 18:53:30 kaare Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans PHP, qui pourraient conduire à un déni de service ou éventuellement l'exécution de code arbitraire. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-2531">CVE-2010-2531</a> <p> Une fuite d'informations a été découverte dans la fonction var_export(). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0421">CVE-2011-0421</a> <p> Le module Zip pourrait planter. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0708">CVE-2011-0708</a> <p> Un débordement d'entier a été découvert dans le module Exif. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1466">CVE-2011-1466</a> <p> Un débordement d'entier a été découverte dans le module Calendar. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1471">CVE-2011-1471</a> <p> Le module Zip était prédisposé au déni de service à l'aide d'archives malformées. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2202">CVE-2011-2202</a> <p> Les noms de chemins dans les envois de fichiers à partir d'un formulaire (RFC 1867) étaient validés de façon incorrecte. </p></li> </ul> <p> Cette mise à jour corrige aussi deux bogues, qui ne sont pas traités comme des problèmes de sécurité, mais corrigés néanmoins, consultez README.Debian.security pour plus de précisions sur la portée du suivi en sécurité pour PHP (<a href="http://security-tracker.debian.org/tracker/CVE-2011-0420">CVE-2011-0420</a>, <a href="http://security-tracker.debian.org/tracker/CVE-2011-1153">CVE-2011-1153</a>). </p> <p>Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 5.2.6.dfsg.1-1+lenny12.</p> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 5.3.3-7+squeeze3.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.3.6-12.</p> <p>Nous vous recommandons de mettre à jour vos paquets php5.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2266.data" # $Id: dsa-2266.wml,v 1.2 2011-07-01 07:26:41 kaare Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature