[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/201{0/dsa-2061,0/dsa-2063,0/dsa-2064,1/dsa-2312,1/dsa-2313}.wml



Salut,

Deux mises à jour de sécurité ont été mises en ligne, et j'en ai traduit
trois plus anciennes, par avance merci pour vos relectures.

Amicalement

David


#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans
Iceweasel, un navigateur web basé sur Firefox.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2372";>CVE-2011-2372</a>
<p>
Mariusz Mlynski a découvert que les sites Internet pourraient ouvrir une
boîte de dialogue de téléchargement â?? dont l'action <q>ouvrir</q> est
configurée par défaut â??, quand un utilisateur presse la touche Entrée.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2995";>CVE-2011-2995</a>
<p>
Benjamin Smedberg, Bob Clary et Jesse Ruderman ont découvert des plantages dans
le moteur de rendu, qui pourraient conduire à l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2998";>CVE-2011-2998</a>
<p>
Mark Kaplan a découvert un débordement
d'entier par le bas dans le moteur JavaScript.

Cela pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2999";>CVE-2011-2999</a>
<p>
Boris Zbarsky a découvert qu'un traitement incorrect de l'objet
window.location pourrait permettre de contourner la politique de même origine.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3000";>CVE-2011-3000</a>
<p>
Ian Graham a découvert que plusieurs en-têtes <q>Location</q>
pourraient permettre une injection de fin de ligne (CRLF).
</p></li>

</ul>

<p>
Pour la distribution oldstable (Lenny), ce problème a été
corrigé dans la version 1.9.0.19-14 du paquet source xulrunner.

Cette mise à jour marque aussi les certificats racine
compromis de DigiNotar comme révoqués plutôt non fiables.
</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-10.

Cette mise à jour marque aussi les certificats racine
compromis de DigiNotar comme révoqués plutôt non fiables.
</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.0-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2313.data"
# $Id: dsa-2313.wml,v 1.1 2011-09-29 21:09:47 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans la suite
Internet Iceape, une version sans marque de Seamonkey :
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2372";>CVE-2011-2372</a>
<p>
Mariusz Mlynski a découvert que les sites Internet pourraient ouvrir une
boîte de dialogue de téléchargement â?? dont l'action <q>ouvrir</q> est
configurée par défaut â??, quand un utilisateur presse la touche Entrée.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2995";>CVE-2011-2995</a>
<p>
Benjamin Smedberg, Bob Clary et Jesse Ruderman ont découvert des plantages dans
le moteur de rendu, qui pourraient conduire à l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2998";>CVE-2011-2998</a>
<p>
Mark Kaplan a découvert un débordement
d'entier par le bas dans le moteur JavaScript.

Cela pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2999";>CVE-2011-2999</a>
<p>
Boris Zbarsky a découvert qu'un traitement incorrect de l'objet
window.location pourrait permettre de contourner la politique de même origine.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3000";>CVE-2011-3000</a>
<p>
Ian Graham a découvert que plusieurs en-têtes <q>Location</q>
pourraient permettre une injection de fin de ligne (CRLF).
</p></li>

</ul>

<p>
La distribution oldstable (Lenny) n'est pas concernée.

Le paquet iceape ne fournit que le code XPCOM.
</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-8.

Cette mise à jour marque aussi les certificats racine
compromis de DigiNotar comme révoqués plutôt non fiables.
</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.0.14-8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets iceape.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2312.data"
# $Id: dsa-2312.wml,v 1.1 2011-09-29 18:07:08 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes dans
Xulrunner, un environnement d'exécution pour les applications XUL.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0183";>CVE-2010-0183</a>
<p>
<q>wushi</q> a découvert qu'une manipulation incorrecte de pointeur dans le
code de traitement de cadre pourrait conduire à l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1196";>CVE-2010-1196</a>
<p>
<q>Nils</q> a découvert qu'un débordement d'entier dans l'analyse
de nÅ?ud DOM pourrait conduire à l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1197";>CVE-2010-1197</a>
<p>
Ilja von Sprundel a découvert qu'une analyse incorrecte des en-têtes
Content-Disposition pourrait permettre un script intersite.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1198";>CVE-2010-1198</a>
<p>
Des ingénieurs de Microsoft ont découvert qu'une manipulation
incorrecte de la mémoire dans l'interaction des greffons du
navigateur pourrait conduire à l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1199";>CVE-2010-1199</a>
<p>
Martin Barbella a découvert qu'un débordement d'entier dans l'analyse 
de nÅ?ud XSLT pourrait conduire à l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1200";>CVE-2010-1200</a>
<p>
Olli Pettay, Martijn Wargers, Justin Lebar, Jesse
Ruderman, Ben Turner, Jonathan Kew et David Humphrey ont
découvert des plantages dans le moteur de mise en page.

Cela peut permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1201";>CVE-2010-1201</a>
<p>
<q>boardraider</q> et <q>stedenon</q> ont découvert
des plantages dans le moteur de mise en page.

Cela peut permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1202";>CVE-2010-1202</a>
<p>
Bob Clary, Igor Bukanov, Gary Kwong et Andreas Gal ont
découvert des plantages dans le moteur JavaScript.

Cela peut permettre l'exécution de code arbitraire.
</p></li>

</ul>

<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.9.0.19-2.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.1.10-1.</p>

<p>Pour la distribution experimental, ces problèmes ont été corrigés dans la version 1.9.2.4-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xulrunner.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2064.data"
# $Id: dsa-2064.wml,v 1.2 2010-12-17 14:26:58 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Fichier temporaire non sécurisé</define-tag>
<define-tag moreinfo>
<p>
Dan Rosenberg a découvert que pmount, un script enveloppe du
programme mount standard qui permet à un utilisateur normal de monter
des périphériques amovibles sans avoir d'entrée correspondante dans
/etc/fstab, crée des fichiers dans /var/lock de façon non sécurisée.

Un attaquant local pourrait écraser des fichiers
arbitraires en utilisant une attaque par lien symbolique.
</p>


<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.9.18-2+lenny1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.9.23-1, qui migrera bientôt vers la distribution testing (Squeeze).</p>

<p>Nous vous recommandons de mettre à jour votre paquet pmount.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2063.data"
# $Id: dsa-2063.wml,v 1.1 2010-06-19 10:02:52 spaillard Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Corruption de mémoire</define-tag>
<define-tag moreinfo>
<p>
Jun Mao a découvert que Samba, un serveur de fichier SMB/CIFS,
d'impression et de connexion pour UNIX, ne manipule pas correctement
certaines valeurs d'index lors du traitement de paquets SMB1 enchaînés.

Cela permet à un attaquant non authentifié d'écrire à un endroit
arbitraire de la mémoire, avec pour conséquence la possibilité
d'exécuter du code arbitraire avec les droits du superutilisateur ou de
réaliser des attaques par déni de service en plantant le démon samba.
</p>


<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 3.2.5-4lenny12.</p>

<p>
Ce problème ne concerne pas les versions des
distributions testing (Squeeze) et unstable (Sid).
</p>


<p>Nous vous recommandons de mettre à jour vos paquets samba.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2061.data"
# $Id: dsa-2061.wml,v 1.1 2010-06-19 10:01:48 spaillard Exp $

Attachment: signature.asc
Description: OpenPGP digital signature


Reply to: