[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/201{0/dsa-1988,0/dsa-1998,0/dsa-1999,0/dsa-2000,0/dsa-2001,0/dsa-2024,1/dsa-2324}.wml

Salut,

Une mise à jour de sécurité a été mise en ligne, et j'en ai traduit six
plus anciennes, par avance merci pour vos relectures.

Amicalement

David



#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>
Le groupe de recherche de vulnérabilités de Microsoft a découvert
qu'un traitement non sécurisé de chargement de chemin pourrait
conduire à l'exécution de code de script Lua arbitraire.
</p>

<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.0.2-3+lenny15.

Cette construction sera bientôt publiée.
</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.11-6+squeeze4.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.6.2-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wireshark.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2324.data"
# $Id: dsa-2324.wml,v 1.1 2011-10-20 20:54:32 taffit Exp $

#use wml::debian::translation-check translation="1.3" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans Qt 4, un environnement
de développement d'applications multiplateforme écrit en C++.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0945";>CVE-2009-0945</a>
<p>
Une erreur d'indexation de tableau dans la méthode
insertItemBefore de WebKit, comme il est utilisé dans qt4-x11,
permet aux attaquants distants d'exécuter du code arbitraire.
</p></li>


<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1687";>CVE-2009-1687</a>
<p>
Le ramasse-miettes JavaScript de WebKit, comme il est utilisé
dans qt4-x11, ne traite pas correctement les échecs d'allocation.

Cela permet aux attaquants distants d'exécuter du code arbitraire
ou de provoquer un déni de service (corruption de mémoire et
plantage d'application) à l'aide d'un document HTML contrefait qui
déclenche un accès en écriture à l'adresse d'un pointeur NULL.
</p></li>


<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1690";>CVE-2009-1690</a>
<p>
Une vulnérabilité d'utilisation de mémoire après libération dans WebKit,
comme il est utilisé dans qt4-x11, permet aux attaquants distants
d'exécuter du code arbitraire ou de provoquer un déni de service
(corruption de mémoire et plantage d'application) en configurant une
propriété d'étiquette HTML non définie qui force la libération des
éléments fils puis leur accès plus tard quand survient une erreur HTML.
</p></li>


<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1698";>CVE-2009-1698</a>
<p>
WebKit dans qt4-x11 n'initialise pas un pointeur lors du
traitement d'un appel de fonction attr de feuilles de style
en cascade (CSS) avec un argument numérique de grande taille.

Cela permet aux attaquants distants d'exécuter du code arbitraire 
ou de provoquer un déni de service (corruption de mémoire et
plantage d'application) à l'aide d'un document HTML contrefait.
</p></li>


<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1699";>CVE-2009-1699</a>
<p>
L'implémentation de feuille de style dans WebKit, comme il est utilisé
dans qt4-x11, ne traite pas correctement les entités externes XML.

Cela permet aux attaquants distants de lire des
fichiers arbitraires à l'aide d'une DTD contrefaite.
</p></li>


<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1711";>CVE-2009-1711</a>
<p>
WebKit dans qt4-x11 n'initialise pas ma mémoire pour les objets DOM Attr.

Cela permet aux attaquants distants d'exécuter du code
arbitraire ou de provoquer un déni de service (plantage
d'application) à l'aide d'un document HTML contrefait.
</p></li>


<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1712";>CVE-2009-1712</a>
<p>
WebKit dans qt4-x11 n'empêche pas le chargement distant d'applettes Java.

Cela permet aux attaquants distants d'exécuter du code
arbitraire, d'augmenter leurs droits ou d'obtenir des
informations sensibles à l'aide d'un élément APPLET ou OBJECT.
</p></li>


<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1713";>CVE-2009-1713</a>
<p>
La fonctionnalité XSLT de WebKit, comme il est utilisé dans
qt4-x11, n'implémente pas correctement la fonction document.

Cela permet aux attaquants distants de lire des fichiers locaux
arbitraires et des fichiers de zones de sécurité différentes.
</p></li>


<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1725";>CVE-2009-1725</a>
<p>i
WebKit dans qt4-x11 ne traite pas correctement
les références de caractères numériques.

Cela permet aux attaquants distants d'exécuter du code arbitraire
ou de provoquer un déni de service (corruption de mémoire et
plantage d'application) à l'aide d'un document HTML contrefait.
</p></li>


<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2700";>CVE-2009-2700</a>
<p>
qt4-x11 ne traite pas correctement un caractère « \0 » dans un nom
de domaine du champ Subject Alternative Name d'un certificat X.509.

Cela permet aux attaquants en homme du milieu de se faire passer
pour des serveurs SSL arbitraires à l'aide d'un certificat
contrefait délivré par une autorité de certification légitime.
</p></li>

</ul>

<p>La distribution oldstable (Etch) n'est pas concernée par ces problèmes.</p>

<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 4.4.3-1+lenny1.</p>

<p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.5.3-1.</p>


<p>Nous vous recommandons de mettre à jour vos paquets qt4-x11.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-1988.data"
# $Id: dsa-1988.wml,v 1.3 2010-12-17 14:26:33 taffit-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Débordement de mémoire tampon</define-tag>
<define-tag moreinfo>
<p>
Maksymilian Arciemowicz a découvert un débordement de mémoire tampon
dans les routines internes de chaîne des bibliothèques principales
de KDE, ce qui pourrait conduire à l'exécution de code arbitraire.
</p>

<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 4:3.5.10.dfsg.1-0lenny4.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4:3.5.10.dfsg.1-3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets kdelibs.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-1998.data"
# $Id: dsa-1998.wml,v 1.1 2010-02-17 21:12:55 spaillard Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes
dans Xulrunner, un environnement d'exécution pour les
applications XUL, comme le navigateur web Iceweasel.

Le projet « Common Vulnerabilities and Exposures »
(CVE) identifie les problèmes suivants :
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1571";>CVE-2009-1571</a>
<p>
Alin Rad Pop a découvert qu'un traitement incorrect de la mémoire dans
l'analyseur HTML pourrait conduire à l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3988";>CVE-2009-3988</a>
<p>
Hidetake Jo a découvert que la politique de même origine peut
être contournée par l'intermédiaire de window.dialogArguments.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0159";>CVE-2010-0159</a>
<p>
Henri Sivonen, Boris Zbarsky, Zack Weinberg, Bob Clary, Martijn Wargers
et Paul Nickerson ont signalé un plantage dans le moteur de rendu.

Cela peut permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0160";>CVE-2010-0160</a>
<p>
Orlando Barrera II a découvert qu'un traitement incorrect de
la mémoire dans l'implémentation de l'API <q>web worker</q>
pourrait conduire à l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0162";>CVE-2010-0162</a>
<p>
Georgi Guninski a découvert que la politique de même origine peut être
contournée à l'aide de documents SVG contrefaits pour l'occasion.
</p></li>

</ul>

<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.9.0.18-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.1.8-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xulrunner.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-1999.data"
# $Id: dsa-1999.wml,v 1.2 2010-12-17 14:26:36 taffit-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans FFmpeg, un lecteur, serveur,
encodeur et transcodeur multimédia, qui fournit aussi un ensemble de
bibliothèques multimédia utilisées dans des applications comme MPlayer.
</p>

<p>
Plusieurs erreurs de programmation dans les implémentations de
conteneur et de codec pourraient conduire à un déni de service
ou l'exécution de code arbitraire si l'utilisateur est piégé
dans l'ouverture d'un fichier ou flux de média contrefait.
</p>

<p>
Les implémentations des codecs affectés et formats
de conteneur suivants ont été mis à jour :
</p>

<ul>
<li>codec audio Vorbis ;</li>
<li>conteneur Ogg ;</li>
<li>codec FF Video 1 ;</li>
<li>codec audio MPEG :</li>
<li>codec vidéo H264 ;</li>
<li>conteneur MOV ;</li>
<li>conteneur Oggedc.</li>
</ul>

<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 0.svn20080206-18+lenny1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:0.5+svn20090706-5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets ffmpeg.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2000.data"
# $Id: dsa-2000.wml,v 1.2 2010-02-19 08:04:56 kaare-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes
dans PHP&nbsp;5, un préprocesseur d'hypertexte.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4142";>CVE-2009-4142</a>
<p>
La fonction htmlspecialchars ne traite pas
correctement les chaînes multioctets non valables.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4143";>CVE-2009-4143</a>
<p>
Corruption de mémoire à l'aide d'interruption de session.
</p></li>

</ul>

<p>
Dans la distribution stable (Lenny), cette mise à jour contient aussi des
corrections de bogue (nº 529278, 556459, 565387 et 523073) qui étaient prévues
pour la mise à jour de stable en tant que version 5.2.6.dfsg.1-1+lenny5.
</p>

<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 5.2.6.dfsg.1-1+lenny6.</p>

<p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.2.12.dfsg.1-1.</p>


<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2001.data"
# $Id: dsa-2001.wml,v 1.2 2010-12-17 14:26:37 taffit-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Vérification d'entrée manquante</define-tag>
<define-tag moreinfo>
<p>
Jamie Strandboge a découvert que Moin, un clone en Python de WikiWiki, ne
vérifie pas suffisamment le nom de page dans l'action <q>Despam</q>, permettant
aux attaquants distants de réaliser des attaques de script intersite (XSS).
</p>

<p>
De plus, cette mise à jour corrige un problème mineur dans la protection
<q>textcha</q>, qui pourrait être contournée de façon triviale en effaçant
les champs <q>textcha-question</q> et <q>textcha-answer</q> du formulaire.
</p>


<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.7.1-3+lenny4.</p>

<p>Pour les distributions testing (Squeeze) et unstable (Sid), ces problèmes seront corrigés prochainement.</p>

<p>Nous vous recommandons de mettre à jour votre paquet moin.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2024.data"
# $Id: dsa-2024.wml,v 1.1 2010-03-31 09:33:49 spaillard Exp $

Attachment: signature.asc
Description: OpenPGP digital signature

Reply to: