Salut, Une mise à jour de sécurité a été mise en ligne, et j'en ai traduit six plus anciennes, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Le groupe de recherche de vulnérabilités de Microsoft a découvert qu'un traitement non sécurisé de chargement de chemin pourrait conduire à l'exécution de code de script Lua arbitraire. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.0.2-3+lenny15. Cette construction sera bientôt publiée. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.11-6+squeeze4.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.6.2-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets wireshark.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2324.data" # $Id: dsa-2324.wml,v 1.1 2011-10-20 20:54:32 taffit Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Qt 4, un environnement de développement d'applications multiplateforme écrit en C++. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0945">CVE-2009-0945</a> <p> Une erreur d'indexation de tableau dans la méthode insertItemBefore de WebKit, comme il est utilisé dans qt4-x11, permet aux attaquants distants d'exécuter du code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1687">CVE-2009-1687</a> <p> Le ramasse-miettes JavaScript de WebKit, comme il est utilisé dans qt4-x11, ne traite pas correctement les échecs d'allocation. Cela permet aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire et plantage d'application) à l'aide d'un document HTML contrefait qui déclenche un accès en écriture à l'adresse d'un pointeur NULL. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1690">CVE-2009-1690</a> <p> Une vulnérabilité d'utilisation de mémoire après libération dans WebKit, comme il est utilisé dans qt4-x11, permet aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire et plantage d'application) en configurant une propriété d'étiquette HTML non définie qui force la libération des éléments fils puis leur accès plus tard quand survient une erreur HTML. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1698">CVE-2009-1698</a> <p> WebKit dans qt4-x11 n'initialise pas un pointeur lors du traitement d'un appel de fonction attr de feuilles de style en cascade (CSS) avec un argument numérique de grande taille. Cela permet aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire et plantage d'application) à l'aide d'un document HTML contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1699">CVE-2009-1699</a> <p> L'implémentation de feuille de style dans WebKit, comme il est utilisé dans qt4-x11, ne traite pas correctement les entités externes XML. Cela permet aux attaquants distants de lire des fichiers arbitraires à l'aide d'une DTD contrefaite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1711">CVE-2009-1711</a> <p> WebKit dans qt4-x11 n'initialise pas ma mémoire pour les objets DOM Attr. Cela permet aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service (plantage d'application) à l'aide d'un document HTML contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1712">CVE-2009-1712</a> <p> WebKit dans qt4-x11 n'empêche pas le chargement distant d'applettes Java. Cela permet aux attaquants distants d'exécuter du code arbitraire, d'augmenter leurs droits ou d'obtenir des informations sensibles à l'aide d'un élément APPLET ou OBJECT. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1713">CVE-2009-1713</a> <p> La fonctionnalité XSLT de WebKit, comme il est utilisé dans qt4-x11, n'implémente pas correctement la fonction document. Cela permet aux attaquants distants de lire des fichiers locaux arbitraires et des fichiers de zones de sécurité différentes. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1725">CVE-2009-1725</a> <p>i WebKit dans qt4-x11 ne traite pas correctement les références de caractères numériques. Cela permet aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire et plantage d'application) à l'aide d'un document HTML contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2700">CVE-2009-2700</a> <p> qt4-x11 ne traite pas correctement un caractère « \0 » dans un nom de domaine du champ Subject Alternative Name d'un certificat X.509. Cela permet aux attaquants en homme du milieu de se faire passer pour des serveurs SSL arbitraires à l'aide d'un certificat contrefait délivré par une autorité de certification légitime. </p></li> </ul> <p>La distribution oldstable (Etch) n'est pas concernée par ces problèmes.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 4.4.3-1+lenny1.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.5.3-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets qt4-x11.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1988.data" # $Id: dsa-1988.wml,v 1.3 2010-12-17 14:26:33 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Maksymilian Arciemowicz a découvert un débordement de mémoire tampon dans les routines internes de chaîne des bibliothèques principales de KDE, ce qui pourrait conduire à l'exécution de code arbitraire. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 4:3.5.10.dfsg.1-0lenny4.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4:3.5.10.dfsg.1-3.</p> <p>Nous vous recommandons de mettre à jour vos paquets kdelibs.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1998.data" # $Id: dsa-1998.wml,v 1.1 2010-02-17 21:12:55 spaillard Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans Xulrunner, un environnement d'exécution pour les applications XUL, comme le navigateur web Iceweasel. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1571">CVE-2009-1571</a> <p> Alin Rad Pop a découvert qu'un traitement incorrect de la mémoire dans l'analyseur HTML pourrait conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3988">CVE-2009-3988</a> <p> Hidetake Jo a découvert que la politique de même origine peut être contournée par l'intermédiaire de window.dialogArguments. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0159">CVE-2010-0159</a> <p> Henri Sivonen, Boris Zbarsky, Zack Weinberg, Bob Clary, Martijn Wargers et Paul Nickerson ont signalé un plantage dans le moteur de rendu. Cela peut permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0160">CVE-2010-0160</a> <p> Orlando Barrera II a découvert qu'un traitement incorrect de la mémoire dans l'implémentation de l'API <q>web worker</q> pourrait conduire à l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0162">CVE-2010-0162</a> <p> Georgi Guninski a découvert que la politique de même origine peut être contournée à l'aide de documents SVG contrefaits pour l'occasion. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.9.0.18-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.1.8-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets xulrunner.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-1999.data" # $Id: dsa-1999.wml,v 1.2 2010-12-17 14:26:36 taffit-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans FFmpeg, un lecteur, serveur, encodeur et transcodeur multimédia, qui fournit aussi un ensemble de bibliothèques multimédia utilisées dans des applications comme MPlayer. </p> <p> Plusieurs erreurs de programmation dans les implémentations de conteneur et de codec pourraient conduire à un déni de service ou l'exécution de code arbitraire si l'utilisateur est piégé dans l'ouverture d'un fichier ou flux de média contrefait. </p> <p> Les implémentations des codecs affectés et formats de conteneur suivants ont été mis à jour : </p> <ul> <li>codec audio Vorbis ;</li> <li>conteneur Ogg ;</li> <li>codec FF Video 1 ;</li> <li>codec audio MPEG :</li> <li>codec vidéo H264 ;</li> <li>conteneur MOV ;</li> <li>conteneur Oggedc.</li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 0.svn20080206-18+lenny1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:0.5+svn20090706-5.</p> <p>Nous vous recommandons de mettre à jour vos paquets ffmpeg.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2000.data" # $Id: dsa-2000.wml,v 1.2 2010-02-19 08:04:56 kaare-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans PHP 5, un préprocesseur d'hypertexte. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4142">CVE-2009-4142</a> <p> La fonction htmlspecialchars ne traite pas correctement les chaînes multioctets non valables. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4143">CVE-2009-4143</a> <p> Corruption de mémoire à l'aide d'interruption de session. </p></li> </ul> <p> Dans la distribution stable (Lenny), cette mise à jour contient aussi des corrections de bogue (nº 529278, 556459, 565387 et 523073) qui étaient prévues pour la mise à jour de stable en tant que version 5.2.6.dfsg.1-1+lenny5. </p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 5.2.6.dfsg.1-1+lenny6.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.2.12.dfsg.1-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets php5.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2001.data" # $Id: dsa-2001.wml,v 1.2 2010-12-17 14:26:37 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Vérification d'entrée manquante</define-tag> <define-tag moreinfo> <p> Jamie Strandboge a découvert que Moin, un clone en Python de WikiWiki, ne vérifie pas suffisamment le nom de page dans l'action <q>Despam</q>, permettant aux attaquants distants de réaliser des attaques de script intersite (XSS). </p> <p> De plus, cette mise à jour corrige un problème mineur dans la protection <q>textcha</q>, qui pourrait être contournée de façon triviale en effaçant les champs <q>textcha-question</q> et <q>textcha-answer</q> du formulaire. </p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.7.1-3+lenny4.</p> <p>Pour les distributions testing (Squeeze) et unstable (Sid), ces problèmes seront corrigés prochainement.</p> <p>Nous vous recommandons de mettre à jour votre paquet moin.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2024.data" # $Id: dsa-2024.wml,v 1.1 2010-03-31 09:33:49 spaillard Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature