Salut, Trois mises à jour de sécurité ont été mises en ligne, et j'en ai traduit deux plus anciennes, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans le navigateur Chromium. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2818";>CVE-2011-2818</a> <p> Une vulnérabilité d'utilisation mémoire après libération dans Google Chrome permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d'autres conséquences indéterminées par des moyens liés au rendu de l'affichage de boîte. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2800";>CVE-2011-2800</a> <p> Google Chrome permet aux attaquants distants d'obtenir éventuellement des renseignements sensibles sur les cibles de redirection côté client à l'aide d'un site web contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2359";>CVE-2011-2359</a> <p> Google Chrome ne suit pas correctement les boîtes en ligne lors du rendu. Cela permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d'autres conséquences indéterminées par des moyens inconnus pouvant mener à un <q>pointeur bancal</q>. </p></li> </ul> <p> Plusieurs certificats SSL non autorisés ont été découverts dans la nature, émis par l'autorité de certification DigiNotar, obtenus au moyen d'une sécurité compromise au sein de la société en question. Cette mise à jour place en liste noire les certificats SSL émis par l'intermédiaire des autorités de certification contrôlées par DigiNotar utilisées par le programme néerlandais PKIoverheid. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 6.0.472.63~r59945-5+squeeze6.</p></li> <p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 13.0.782.220~r99552-1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 13.0.782.220~r99552-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets chromium-browser.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2307.data" # $Id: dsa-2307.wml,v 1.1 2011-09-11 22:08:02 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans FFmpeg, un lecteur, serveur, encodeur et transcodeur multimédia. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3908";>CVE-2010-3908</a> <p> FFmpeg avant la version 0.5.4, permet aux attaquants distants de provoquer un déni de service (corruption de mémoire et plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide d'un fichier WMV contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4704";>CVE-2010-4704</a> <p> libavcodec/vorbis_dec.c du décodeur Vorbis de FFmpeg permet aux attaquants distants de provoquer un déni de service (plantage d'application) à l'aide d'un fichier Ogg contrefait, lié à la fonction vorbis_floor0_decode. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0480";>CVE-2011-0480</a> <p> Plusieurs débordements de mémoire tampon dans vorbis_dec.c du décodeur Vorbis de FFmpeg permet aux attaquants distants de provoquer un déni de service (corruption de mémoire et plantage d'application) ou éventuellement avoir d'autres conséquences indéterminés à l'aide d'un fichier WebM contrefait, liés aux tampons du plancher de canal et du résidu de canal. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0722";>CVE-2011-0722</a> <p> FFmpeg permet aux attaquants distants de provoquer un déni de service (corruption de mémoire de tas et plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide d'un fichier RealMedia contrefait. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4:0.5.4-1.</p> <p> Le suivi en sécurité de ffmpeg a été arrêté pour la distribution oldstable (Lenny). L'actuelle version distribuée dans oldstable n'est plus suivie en amont et est concernée par plusieurs problèmes de sécurité. Le rétroportage des correctifs pour ces problèmes et ceux à venir et devenu impossible et par conséquent nous devons abandonner le suivi en sécurité pour le version distribuée dans oldstable. </p> <p>Nous vous recommandons de mettre à jour vos paquets ffmpeg.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2306.data" # $Id: dsa-2306.wml,v 1.1 2011-09-11 21:45:33 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Ben Hawkes a découvert que Squid 3, un mandataire cache web (HTTP proxy) pleinement fonctionnel, est vulnérable à un débordement de mémoire tampon lors du traitement de réponses d'un serveur Gopher. Un attaquant peut exploiter ce défaut en se connectant à un serveur Gopher qui renvoie des lignes plus longues que 4096 octets. Cela peut donner lieu à des conditions de déni de service (plantage du démon) ou éventuellement l'exécution de code arbitraire avec les droits du démon squid. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 3.0.STABLE8-3+lenny5.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.1.6-1.2+squeeze1.</p> <p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 3.1.15-1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.1.15-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets squid3.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2304.data" # $Id: dsa-2304.wml,v 1.1 2011-09-11 21:14:59 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordements de mémoire tampon</define-tag> <define-tag moreinfo> <p> Charlie Miller a découvert deux vulnérabilités dans OpenOffice.org Impress. Cela peut être exploité par des personnes malveillantes pour compromettre le système d'un utilisateur et exécuter du code arbitraire. </p> <ul> <li><p> Une erreur de troncature d'entier lors de l'analyse de certains contenus peut être exploitée pour provoquer un débordement de mémoire tampon basée sur le tas à l'aide d'un fichier contrefait pour l'occasion. </p></li> <li><p> Une erreur de débordement d'entier court lors de l'analyse de certains contenus peut être exploitée pour provoquer un débordement de mémoire tampon basée sur le tas à l'aide d'un fichier contrefait pour l'occasion. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.4.1+dfsg-1+lenny8.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.2.1-6.</p> <p>Nous vous recommandons de mettre à jour vos paquets openoffice.org.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2099.data" # $Id: dsa-2099.wml,v 1.1 2010-08-30 11:40:23 spaillard Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Augmentation de droits</define-tag> <define-tag moreinfo> <p> Une vulnérabilité locale a été découverte dans DRBD 8. </p> <p> Philipp Reisner a corrigé un problème dans le module noyau DRBD qui permet aux utilisateurs locaux d'envoyer des paquets netlink pour réaliser des actions qui devraient être restreintes aux utilisateurs avec les droits de CAP_SYS_ADMIN. C'est un problème similaire à ceux décrits en <a href="http://security-tracker.debian.org/tracker/CVE-2009-3725";>CVE-2009-3725</a>. </p> <p> Cette mise à jour corrige aussi un problème de compatibilité introduit par linux-2.6 2.6.26-21lenny3. Les paquets de module DRBD préconstruits dont la liste est dans cette annonce nécessitent un paquet linux-image en version 2.6.26-21lenny3 ou supérieure. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2:8.0.14-2+lenny1.</p> <p>Nous vous recommandons de mettre à jour vos paquets drbd8.</p> <p> Le paquet linux-modules-extra-2.6 a été reconstruit en cohérence avec le paquet drbd8 pour fournir les paquets drbd8-modules préconstruits. Si, au lieu d'utiliser les paquets drbd8-modules préconstruits, vous avez plutôt construit et installé une copie locale du module DRBD à partir du paquet drbd8-source (par exemple en utilisant module-assistant), vous aurez besoin de suivre les mêmes étapes que celles initialement utilisées pour reconstruire votre module après la mise à jour du paquet drbd8-source. </p> <p> Remarque : après la mise à jour d'un module noyau, vous devez recharger le module pour que les modifications soient effectivement prises en compte : </p> <ol> <li> éteindre tous les services utilisant le module DRBD ; </li> <li> décharger le module DRBD précédent (<code>modprobe -r drbd<code>) ; </li> <li> charger le module DRBD mis à jour (<code>modprobe drbd<code>) ; </li> <li> redémarrer tous les services utilisant le module DRBD. </li> </ol> <p> Un redémarrage du système forcera aussi le module mis à jour à être utilisé. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2015.data" # $Id: dsa-2015.wml,v 1.2 2010-12-17 14:26:40 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature