[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/20{09/dsa-1962,11/dsa-2336,11/dsa-2338,11/dsa-2339,11/dsa-2340}.wml

Salut,

Quatre mises à jour de sécurité ont été mises en ligne, et j'en ai
traduit une plus ancienne, par avance merci pour vos relectures.

Amicalement

David



#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Hachage de mot de passe faible</define-tag>
<define-tag moreinfo>
<p>
magnum a découvert que le hachage de mot de passe blowfish utilisé entre autres
dans PostgreSQL contenait une faiblesse qui donnerait aux mots de passe avec
des caractères 8 bits des hachages identiques à leurs équivalents plus faibles.
</p>

<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 8.3.16-0lenny1 de postgresql-8.3.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 8.4.9-0squeeze1 de postgresql-8.4.</p>

<p>
Pour la distribution testing (Wheezy) et la distribution unstable (Sid),
ce problème a été corrigé dans la version 8.4.9-1 de postgresql-8.4,
dans postgresql-9.0 9.0.5-1 et postgresql-9.1 9.1~rc1-1.
</p>

<p>
Les mises à jours contiennent aussi des améliorations de
fiabilité, originellement prévues pour être incluses dans la
prochaine mise à jour de stable ; pour plus de précisions,
veuillez consulter leurs journaux de modifications respectifs.
</p>

<p>Nous vous recommandons de mettre à jour vos paquets postgresql.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2340.data"
# $Id: dsa-2340.wml,v 1.1 2011-11-07 22:14:23 taffit Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Cette mise à jour des bibliothèques cryptographiques NSS révoque la
confiance en l'autorité de certification <q>DigiCert Sdn. Bhd</q>.

Plus de renseignements sont disponibles sur le <a
href="http://blog.mozilla.com/security/2011/11/03/revoking-trust-in-digicert-sdn-bhd-intermediate-certificate-authority/";>\
blog de sécurité de Mozilla </a>.
</p>

<p>
Cette mise à jour corrige aussi un chemin de chargement
non sécurisé du fichier de configuration pkcs11.txt (<a
href="http://security-tracker.debian.org/tracker/CVE-2011-3640";>\
CVE-2011-3640</a>).
</p>

<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 3.12.3.1-0lenny7.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.12.8-1+squeeze4.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.13.1.with.ckbi.1.88-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets nss.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2339.data"
# $Id: dsa-2339.wml,v 1.1 2011-11-07 21:48:21 taffit Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs problèmes de script intersite et de divulgation
d'informations ont été corrigés dans Moodle, un système
de gestion de cours pour apprentissage en ligne :
</p>

<ul>

<li><a href="http://moodle.org/mod/forum/discuss.php?d=182737";>MSA-11-0020</a>
<p>
le suivi de liens dans les messages d'erreur peuvent conduire hors du site ;
</p></li>

<li><a href="moodle.org/mod/forum/discuss.php?d=182741">MSA-11-0024</a>
<p>
les images de reCAPTCHA étaient authentifiées depuis un serveur plus ancien ;
</p></li>

<li><a href="moodle.org/mod/forum/discuss.php?d=182742">MSA-11-0025</a>
<p>
les noms de groupe des envois CSV de l'utilisateur n'étaient pas protégés ;
</p></li>

<li><a href="moodle.org/mod/forum/discuss.php?d=182743">MSA-11-0026</a>
<p>
des champs d'envois CSV de l'utilisateur n'étaient pas protégés ;
</p></li>

<li><a href="http://moodle.org/mod/forum/discuss.php?d=188313";>MSA-11-0031</a>
<p>
problème de constante dans l'interface de programmation de formulaires ;
</p></li>

<li><a href="http://moodle.org/mod/forum/discuss.php?d=188314";>MSA-11-0032</a>
<p>
problème de validation SSL MNET ;
</p></li>

<li><a href="http://moodle.org/mod/forum/discuss.php?d=188318";>MSA-11-0036</a>
<p>
vulnérabilité de rafraîchissement de message ;
</p></li>

<li><a href="http://moodle.org/mod/forum/discuss.php?d=188319";>MSA-11-0037</a>
<p>
vulnérabilité d'injection dans l'édition de section de cours ;
</p></li>

<li><a href="http://moodle.org/mod/forum/discuss.php?d=188320";>MSA-11-0038</a>
<p>
protection d'injection de base de données renforcée.
</p></li>

</ul>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.9.9.dfsg2-2.1+squeeze2.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.9.9.dfsg2-4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets moodle.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2338.data"
# $Id: dsa-2338.wml,v 1.1 2011-11-07 21:37:25 taffit Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans
le lecteur, serveur et encodeur multimédia FFmpeg.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3362";>CVE-2011-3362</a>
<p>
Une erreur d'entier signé dans la fonction decode_residual_block du
décodeur vidéo CAVS (<q>Chinese AVS</q>) de libavcodec peut conduire à
un déni de service (corruption de mémoire et plantage d'application) ou
éventuellement à l'exécution de code à l'aide d'un fichier CAVS contrefait.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3973";>CVE-2011-3973</a>, <a href="http://security-tracker.debian.org/tracker/CVE-2011-3974";>CVE-2011-3974</a>

<p>
Plusieurs erreurs dans le décodeur vidéo CAVS (<q>Chinese AVS</q>)
peuvent conduire à un déni de service (corruption de mémoire
et plantage d'application) à l'aide d'un flux non valable. 
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3504";>CVE-2011-3504</a>
<p>
Un problème d'allocation mémoire dans le décodeur de format Matroska
peut conduire à l'exécution de code à l'aide d'un fichier contrefait.
</p></li>

</ul>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4:0.5.5-1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4:0.7.2-1 du paquet source libav.</p>

<p>
Le suivi en sécurité de ffmpeg a été arrêté pour la distribution
oldstable (Lenny) depuis la <a href="dsa-2306">DSA 2306</a>.

L'actuelle version distribuée dans oldstable n'est plus suivie
en amont et est concernée par plusieurs problèmes de sécurité.

Le rétroportage des correctifs pour ces problèmes et ceux à venir
est devenu impossible et par conséquent nous devons abandonner le
suivi en sécurité pour la version distribuée dans oldstable.
</p>

<p>Nous vous recommandons de mettre à jour vos paquets ffmpeg.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2336.data"
# $Id: dsa-2336.wml,v 1.1 2011-11-07 21:17:50 taffit Exp $

#use wml::debian::translation-check translation="1.3" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes
dans KVM, un système de virtualisation complet.
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3638";>CVE-2009-3638</a>
<p>
Un dépassement d'entier dans dans la fonction
kvm_dev_ioctl_get_supported_cpuid a été découvert.

Cela permet aux utilisateurs locaux d'avoir un impact inconnu à l'aide
d'une requête KVM_GET_SUPPORTED_CPUID dans la fonction kvm_arch_dev_ioctl.
</p></li>


<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3722";>CVE-2009-3722</a>
<p>
La fonction handle_dr du sous-système KVM ne vérifie pas correctement le CPL
(<q>Current Privilege Level</q>) avant d'accéder à un registre de débogage.

Cela permet aux utilisateur du système d'exploitation client
de provoquer un déni de service (piège) sur le système
d'exploitation hôte à l'aide d'une application contrefaite.
</p></li>


<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4031";>CVE-2009-4031</a>
<p>
La fonction do_insn_fetch de l'émulateur x86 du
sous-système KVM essaye d'interpréter des instructions
qui contiennent trop d'octets pour être valables.

Cela permet aux utilisateurs du système d'exploitation client
de provoquer un déni de service (latence d'ordonnancement
augmentée) sur le système d'exploitation hôte à l'aide de
manipulations inconnues relatives à la prise en charge de SMP.
</p></li>

</ul>

<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 72+dfsg-5~lenny4.</p>

<p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p>

<p>Nous vous recommandons de mettre à jour votre paquet kvm.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1962.data"
# $Id: dsa-1962.wml,v 1.3 2010-12-17 14:40:47 taffit-guest Exp $

Attachment: signature.asc
Description: OpenPGP digital signature

Reply to: