[LCFC] wml://security/20{09/dsa-1903,09/dsa-1913,09/dsa-1920,11/dsa-2341,11/dsa-2342,11/dsa-2343}.wml
Salut,
On 09/11/2011 21:41, David Prévot wrote:
Trois mises à jour de sécurité ont été mises en ligne, et j'en ai
traduit trois plus anciennes, par avance merci pour vos relectures.
Merci à Thomas et Jean Paul, et par avance merci pour vos dernières
remarques.
Amicalement
David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans la suite
Internet Iceape, une version sans marque de Seamonkey.
</p>
<ul>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3647";>CVE-2011-3647</a>
<p>
<q>moz_bug_r_a4</q> a découvert une vulnérabilité
d'augmentation de droits dans le traitement des greffons.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3648";>CVE-2011-3648</a>
<p>
Yosuke Hasegawa a découvert qu'un traitement incorrect des
encodages Shift-JIS pourrait conduire à un script intersite.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3650";>CVE-2011-3650</a>
<p>
Marc Schoenefeld a découvert que le profilage du code
JavaScript pourrait conduire à une corruption de mémoire.
</p></li>
</ul>
<p>La distribution oldstable (Lenny) n'est pas concernée.
Le paquet iceape ne fournit que le code XPCOM.
</p>
<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-9.</p>
<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.0.14-9.</p>
<p>Nous vous recommandons de mettre à jour vos paquets iceape.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2342.data"
# $Id: dsa-2342.wml,v 1.1 2011-11-10 01:40:10 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans
Iceweasel, un navigateur web basé sur Firefox.
La bibliothèque XULRunner intégrée fournit des services de
rendu pour plusieurs autres applications intégrées à Debian.
</p>
<ul>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3647";>CVE-2011-3647</a>
<p>
<q>moz_bug_r_a4</q> a découvert une vulnérabilité
d'augmentation de droits dans le traitement des greffons.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3648";>CVE-2011-3648</a>
<p>
Yosuke Hasegawa a découvert qu'un traitement incorrect des
encodages Shift-JIS pourrait conduire à un script intersite.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3650";>CVE-2011-3650</a>
<p>
Marc Schoenefeld a découvert que le profilage du code
JavaScript pourrait conduire à une corruption de mémoire.
</p></li>
</ul>
<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.9.0.19-15 du paquet source xulrunner.</p>
<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-11.</p>
<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 8.0-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2341.data"
# $Id: dsa-2341.wml,v 1.1 2011-11-10 01:40:10 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Révocation de confiance en une autorité de certification</define-tag>
<define-tag moreinfo>
<p>
Plusieurs certificats faibles ont été délivrés par l'autorité de
certification intermédiaire malaisienne <q>Digicert Sdn. Bhd.</q>
Cet événement, ainsi que d'autres problèmes, ont conduit
Entrust Inc. et Verizon Cybertrust à révoquer leurs
certificats de signature croisée d'autorité de certification.
</p>
<p>
Cette mise à jour d'OpenSSL, une boîte à outils de cryptographie
associés à SSL (Secure Socket Layer), reflète cette décision
en marquant les certificats de Digicert Sdn. Bhd. révoqués.
</p>
<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.9.8g-15+lenny14.</p>
<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.9.8o-4squeeze4.</p>
<p>Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.</p>
<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.0.0e-2.1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2343.data"
# $Id: dsa-2343.wml,v 1.1 2011-11-10 01:40:10 taffit Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans GraphicsMagick,
une collection d'outils de traitement d'images, qui peuvent
conduire à l'exécution de code arbitraire, la révélation de
renseignements sensibles ou provoquer un déni de service.
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :
</p>
<ul>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2007-1667";>CVE-2007-1667</a>
<p>
Plusieurs débordements d'entiers dans la fonction XInitImage de xwd.c
de GraphicsMagick permettent aux attaquants distants, avec l'aide d'un
utilisateur, de provoquer un déni de service (plantage) ou d'obtenir des
renseignements sensibles à l'aide d'images contrefaites avec des valeurs
grandes ou négatives qui déclenchent un débordement de mémoire tampon.
Seule la distribution oldstable (Etch) est concernée.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2007-1797";>CVE-2007-1797</a>
<p>
Plusieurs débordements d'entiers permettent aux attaquants distants
d'exécuter du code arbitraire à l'aide d'une image DCM contrefaite, ou
de champs de couleurs ou commentaires d'une image XWD contrefaite.
Seule la distribution oldstable (Etch) est concernée.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2007-4985";>CVE-2007-4985</a>
<p>
Un fichier image contrefait peut déclencher une boucle infinie
dans la fonction ReadDCMImage ou dans la fonction ReadXCFImage.
Seule la distribution oldstable (Etch) est concernée.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2007-4986";>CVE-2007-4986</a>
<p>
Plusieurs débordements d'entiers permettent aux attaquants distants
en fonction du contexte d'exécuter du code arbitraire à l'aide
d'un fichier image .dcm, .dib, .xbm, .xcf ou .xwd contrefait, ce
qui déclenche un débordement de tas.
Seule la distribution oldstable (Etch) est concernée.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2007-4988";>CVE-2007-4988</a>
<p>
Une erreur d'extension de signe permet aux attaquants en fonction du
contexte d'exécuter du code arbitraire à l'aide d'une valeur de largeur
contrefaite dans un fichier image, ce qui déclenche un débordement
d'entier et un débordement de tas.
Seule la distribution oldstable (Etch) est concernée.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-1096";>CVE-2008-1096</a>
<p>
La fonction load_tile du codeur XCF permet aux attaquants distants,
avec l'aide d'un utilisateur, de provoquer un déni de service ou
éventuellement d'exécuter du code arbitraire à l'aide d'un fichier
.xcf contrefait qui déclenche une écriture de tas hors limite.
Seule la distribution oldstable (Etch) est concernée.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-3134";>CVE-2008-3134</a>
<p>
Plusieurs vulnérabilités dans les versions de GraphicsMagick antérieures Ã
1.2.4 permettent aux attaquants distants de provoquer un déni de service
(plantage, boucle infinie ou consommation de mémoire) à l'aide de moyens
dans les lecteurs de décodeur AVI, AVS, DCM, EPT, FITS, MTV, PALM, RLA et
TGA, et de la fonction GetImageCharacteristics de magick/image.c, telle
qu'accessible depuis un fichier PNG, JPEG, BMP ou TIFF contrefait.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-6070";>CVE-2008-6070</a>
<p>
Plusieurs dépassements par le bas de mémoire tampon basée sur le tas
dans la fonction ReadPALMImage de coders/palm.c dans les versions de
GraphicsMagick antérieures à 1.2.3 permettent aux attaquants distants
de provoquer un déni de service (plantage) ou éventuellement d'exécuter
du code arbitraire à l'aide d'une image PALM contrefaite.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-6071";>CVE-2008-6071</a>
<p>
Un débordement de mémoire tampon basée sur le tas dans la fonction
DecodeImage de coders/pict.c dans les versions de GraphicsMagick antérieures
à 1.1.14, et 1.2.x avant la version 1.2.3, permet aux attaquants
distants de provoquer un déni de service (plantage) ou éventuellement
d'exécuter du code arbitraire à l'aide d'une image PICT contrefaite.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-6072";>CVE-2008-6072</a>
<p>
Plusieurs vulnérabilités dans GraphicsMagick permettent aux
attaquants distants de provoquer un déni de service
(plantage) Ã l'aide de moyens dans les images XCF et CINEON.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-6621";>CVE-2008-6621</a>
<p>
Une vulnérabilité dans GraphicsMagick permet aux attaquants distants de
provoquer un déni de service (plantage) à l'aide de moyens dans les images DPX.
</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1882";>CVE-2009-1882</a>
<p>
Un dépassement d'entier permet aux attaquants distants de provoquer un déni de
service (plantage) et éventuellement d'exécuter du code arbitraire à l'aide d'un
fichier TIFF contrefait, ce qui déclenche un débordement de mémoire tampon.
</p></li>
</ul>
<p>Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 1.1.7-13+etch1.</p>
<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.1.11-3.2+lenny1.</p>
<p>Pour la distribution stable à venir (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.3.5-5.1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1903.data"
# $Id: dsa-1903.wml,v 1.3 2011-11-11 12:53:52 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Déni de service</define-tag>
<define-tag moreinfo>
<p>
Une vulnérabilité de déni de service a été découverte
dans nginx, un petit serveur web efficace.
</p>
<p>
Jasson Bell a découvert qu'un attaquant distant pourrait provoquer un déni
de service (erreur de segmentation) en envoyant une requête contrefaite.
</p>
<p>Pour l'ancienne distribution stable (Etch), ce problème a été corrigé dans la version 0.4.13-2+etch3.</p>
<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.6.32-3+lenny3.</p>
<p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème a été corrigé dans la version 0.7.62-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet nginx.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1920.data"
# $Id: dsa-1920.wml,v 1.1 2011-11-10 01:40:05 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Vulnérabilité d'injection SQL</define-tag>
<define-tag moreinfo>
<p>
Max Kanat-Alexander, Bradley Baetz, et Frédéric Buclin ont découvert une
vulnérabilité d'injection SQL dans la fonction Bug.create du composant
WebService de Bugzilla, un système de suivi de bogues avec interface web.
Cela permet aux attaquants distants d'exécuter des commandes SQL arbitraires.
</p>
<p>La distribution oldstable (Etch) n'est pas concernée par ce problème.</p>
<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 3.0.4.1-2+lenny2.</p>
<p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème sera corrigé prochainement.</p>
<p>Nous vous recommandons de mettre à jour vos paquets bugzilla.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1913.data"
# $Id: dsa-1913.wml,v 1.1 2011-11-10 01:40:05 taffit Exp $
Reply to:
- Prev by Date:
[DONE] wml://security/20{09/dsa-1962,11/dsa-2336,11/dsa-2338,11/dsa-2339,11/dsa-2340}.wml
- Next by Date:
Re: [LCFC] po-debconf://nvidia-support/fr.po 3u
- Previous by thread:
Re: [RFR] wml://security/20{09/dsa-1903,09/dsa-1913,09/dsa-1920,11/dsa-2341,11/dsa-2342,11/dsa-2343}.wml
- Next by thread:
Re: [LCFC] wml://security/20{09/dsa-1903,09/dsa-1913,09/dsa-1920,11/dsa-2341,11/dsa-2342,11/dsa-2343}.wml
- Index(es):