Salut, Le 30/09/2011 04:27, Thomas Vincent a écrit : > Voici trois corrections pour dsa-2312 et 2313 (trois fois la même). Rien > à signaler pour dsa-20*. Merci, et par avance merci pour vos dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2372";>CVE-2011-2372</a> <p> Mariusz Mlynski a découvert que les sites Internet pourraient ouvrir une boîte de dialogue de téléchargement â?? dont l'action <q>ouvrir</q> est configurée par défaut â??, quand un utilisateur presse la touche Entrée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2995";>CVE-2011-2995</a> <p> Benjamin Smedberg, Bob Clary et Jesse Ruderman ont découvert des plantages dans le moteur de rendu, qui pourraient conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2998";>CVE-2011-2998</a> <p> Mark Kaplan a découvert un débordement d'entier par le bas dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2999";>CVE-2011-2999</a> <p> Boris Zbarsky a découvert qu'un traitement incorrect de l'objet window.location pourrait permettre de contourner la politique de même origine. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3000";>CVE-2011-3000</a> <p> Ian Graham a découvert que plusieurs en-têtes <q>Location</q> pourraient permettre une injection de fin de ligne (CRLF). </p></li> </ul> <p> Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.9.0.19-14 du paquet source xulrunner. Cette mise à jour marque aussi les certificats racine compromis de DigiNotar comme révoqués plutôt que non fiables. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-10. Cette mise à jour marque aussi les certificats racine compromis de DigiNotar comme révoqués plutôt que non fiables. </p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.0-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2313.data" # $Id: dsa-2313.wml,v 1.3 2011-09-30 19:20:25 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans la suite Internet Iceape, une version sans marque de Seamonkey : </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2372";>CVE-2011-2372</a> <p> Mariusz Mlynski a découvert que les sites Internet pourraient ouvrir une boîte de dialogue de téléchargement â?? dont l'action <q>ouvrir</q> est configurée par défaut â??, quand un utilisateur presse la touche Entrée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2995";>CVE-2011-2995</a> <p> Benjamin Smedberg, Bob Clary et Jesse Ruderman ont découvert des plantages dans le moteur de rendu, qui pourraient conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2998";>CVE-2011-2998</a> <p> Mark Kaplan a découvert un débordement d'entier par le bas dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2999";>CVE-2011-2999</a> <p> Boris Zbarsky a découvert qu'un traitement incorrect de l'objet window.location pourrait permettre de contourner la politique de même origine. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3000";>CVE-2011-3000</a> <p> Ian Graham a découvert que plusieurs en-têtes <q>Location</q> pourraient permettre une injection de fin de ligne (CRLF). </p></li> </ul> <p> La distribution oldstable (Lenny) n'est pas concernée. Le paquet iceape ne fournit que le code XPCOM. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-8. Cette mise à jour marque aussi les certificats racine compromis de DigiNotar comme révoqués plutôt que non fiables. </p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.0.14-8.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceape.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2312.data" # $Id: dsa-2312.wml,v 1.3 2011-09-30 19:20:25 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans Xulrunner, un environnement d'exécution pour les applications XUL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0183";>CVE-2010-0183</a> <p> <q>wushi</q> a découvert qu'une manipulation incorrecte de pointeur dans le code de traitement de cadre pourrait conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1196";>CVE-2010-1196</a> <p> <q>Nils</q> a découvert qu'un débordement d'entier dans l'analyse de nÅ?ud DOM pourrait conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1197";>CVE-2010-1197</a> <p> Ilja von Sprundel a découvert qu'une analyse incorrecte des en-têtes Content-Disposition pourrait permettre un script intersite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1198";>CVE-2010-1198</a> <p> Des ingénieurs de Microsoft ont découvert qu'une manipulation incorrecte de la mémoire dans l'interaction des greffons du navigateur pourrait conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1199";>CVE-2010-1199</a> <p> Martin Barbella a découvert qu'un débordement d'entier dans l'analyse de nÅ?ud XSLT pourrait conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1200";>CVE-2010-1200</a> <p> Olli Pettay, Martijn Wargers, Justin Lebar, Jesse Ruderman, Ben Turner, Jonathan Kew et David Humphrey ont découvert des plantages dans le moteur de mise en page. Cela peut permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1201";>CVE-2010-1201</a> <p> <q>boardraider</q> et <q>stedenon</q> ont découvert des plantages dans le moteur de mise en page. Cela peut permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1202";>CVE-2010-1202</a> <p> Bob Clary, Igor Bukanov, Gary Kwong et Andreas Gal ont découvert des plantages dans le moteur JavaScript. Cela peut permettre l'exécution de code arbitraire. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.9.0.19-2.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.1.10-1.</p> <p>Pour la distribution experimental, ces problèmes ont été corrigés dans la version 1.9.2.4-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets xulrunner.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2064.data" # $Id: dsa-2064.wml,v 1.1 2011-09-30 01:14:08 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Fichier temporaire non sécurisé</define-tag> <define-tag moreinfo> <p> Dan Rosenberg a découvert que pmount, un script enveloppe du programme mount standard qui permet à un utilisateur normal de monter des périphériques amovibles sans avoir d'entrée correspondante dans /etc/fstab, crée des fichiers dans /var/lock de façon non sécurisée. Un attaquant local pourrait écraser des fichiers arbitraires en utilisant une attaque par lien symbolique. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.9.18-2+lenny1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.9.23-1, qui migrera bientôt vers la distribution testing (Squeeze).</p> <p>Nous vous recommandons de mettre à jour votre paquet pmount.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2063.data" # $Id: dsa-2063.wml,v 1.1 2011-09-30 01:14:07 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Corruption de mémoire</define-tag> <define-tag moreinfo> <p> Jun Mao a découvert que Samba, un serveur de fichier SMB/CIFS, d'impression et de connexion pour UNIX, ne manipule pas correctement certaines valeurs d'index lors du traitement de paquets SMB1 enchaînés. Cela permet à un attaquant non authentifié d'écrire à un endroit arbitraire de la mémoire, avec pour conséquence la possibilité d'exécuter du code arbitraire avec les droits du superutilisateur ou de réaliser des attaques par déni de service en plantant le démon samba. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 3.2.5-4lenny12.</p> <p> Ce problème ne concerne pas les versions des distributions testing (Squeeze) et unstable (Sid). </p> <p>Nous vous recommandons de mettre à jour vos paquets samba.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2061.data" # $Id: dsa-2061.wml,v 1.1 2011-09-30 01:14:07 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature