Salut, Une annonce de sécurité a été publiée aujourd'hui (les relecteurs attentifs risquent d'avoir une légère impression de déjà vu), et j'en ai traduit une plus ancienne, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation de la plateforme Java. Cela combine deux précédentes annonces pour openjdk-6 : <a href="dsa-2311">DSA-2311-1</a> et <a href="dsa-2356">DSA-2356-1</a>. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0862">CVE-2011-0862</a> <p> Des erreurs de dépassement d'entier dans l'analyseur de JPEG et de police permettent à du code non fiable (applettes comprises) d'augmenter ses droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0864">CVE-2011-0864</a> <p> Le compilateur à la volée Hotspot d'OpenJDK faisait des erreurs de manipulation de certaines instructions de pseudocode, permettant à du code non fiable (applettes comprises) de planter la machine virtuelle. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0865">CVE-2011-0865</a> <p> Une situation de compétition dans la désérialisation d'objet signé pourrait permettre à du code non fiable de modifier du contenu signé, en laissant apparemment sa signature intacte. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0867">CVE-2011-0867</a> <p> Du code non fiable (applettes comprises) pourrait accéder à des renseignements sur les interfaces réseau qui n'ont pas vocation à être publics (remarquez que l'adresse MAC de l'interface est toujours accessible au code non fiable). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0868">CVE-2011-0868</a> <p> Une conversion de flottant en entier long pourrait déborder, permettant à du code non fiable (applettes comprises) de planter la machine virtuelle. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0869">CVE-2011-0869</a> <p> Du code non fiable (applettes comprises) pourrait intercepter des requêtes HTTP en reconfigurant des réglages de serveur mandataire (proxy) dans une connexion SOAP. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0871">CVE-2011-0871</a> <p> Du code non fiable (applettes comprises) pourrait augmenter ses droits à l'aide du code Swing MediaTracker. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3389">CVE-2011-3389</a> <p> L'implémentation TLS ne protège pas correctement contre certaines attaques à texte clair choisi (<q>chosen-plaintext</q>) lorsque des chiffrements de blocs sont utilisés en mode d'enchaînement des blocs (CBC). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3521">CVE-2011-3521</a> <p> L'implémentation CORBA contient une vulnérabilité de désérialisation dans l'implémentation IIOP, permettant au code Java non fiable (comme les applettes) d'augmenter ses droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3544">CVE-2011-3544</a> <p> Le moteur de script Java manque de vérifications nécessaires du gestionnaire de sécurité, permettant au code Java non fiable (comme les applettes) d'augmenter ses droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3547">CVE-2011-3547</a> <p> La méthode skip() de java.io.InputStream utilise un tampon partagé, permettant au code Java non fiable (comme les applettes) d'accéder aux données qui sont sautées par un autre code. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3548">CVE-2011-3548</a> <p> La classe java.awt.AWTKeyStroke contient un défaut qui permet au code Java non fiable (comme les applettes) d'augmenter ses droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3551">CVE-2011-3551</a> <p> Le code C Java2D contient un débordement d'entier qui induit un dépassement de tas, permettant éventuellement au code Java non fiable (comme les applettes) d'augmenter ses droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3552">CVE-2011-3552</a> <p> Du code Java malveillant peut utiliser un nombre excessif de ports UDP, conduisant à un déni de service. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3553">CVE-2011-3553</a> <p> JAX-WS active des traces de pile pour certaines réponses du serveur par défaut, permettant une éventuelle fuite de renseignements sensibles. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3554">CVE-2011-3554</a> <p> Les fichiers JAR au format pack200 ne sont pas correctement vérifiés pour les erreurs, permettant éventuellement l'exécution de code arbitraire lors du dépaquetage de fichiers pack200 contrefaits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3556">CVE-2011-3556</a> <p> Le serveur de registre RMI manque de restrictions d'accès pour certaines méthodes, permettant à un client distant d'exécuter du code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3557">CVE-2011-3557</a> <p> Le serveur de registre RMI échoue à restreindre correctement les droits du code Java non fiable, permettant aux clients RMI d'augmenter leurs droits sur le serveur de registre RMI. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3560">CVE-2011-3560</a> <p> La classe com.sun.net.ssl.HttpsURLConnection ne réalise pas correctement les vérifications du gestionnaire de sécurité dans la méthode setSSLSocketFactory(), permettant au code Java non fiable de contourner les restrictions de la politique de sécurité. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 6b18-1.8.10-0~lenny1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openjdk-6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2358.data" # $Id: dsa-2358.wml,v 1.1 2011-12-05 19:47:02 taffit Exp $
#use wml::debian::translation-check translation="1.4" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Drupal 6, un système de gestion de contenu multifonction. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2372">CVE-2009-2372</a> <p> Gerhard Killesreiter a découvert un défaut dans la façon dont les signatures d'utilisateur sont traitées. Un utilisateur peut injecter du code arbitraire à l'aide d'une signature d'utilisateur contrefaite (SA-CORE-2009-007). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2373">CVE-2009-2373</a> <p> Mark Piper, Sven Herrmann et Brandon Knight ont découvert un problème de script intersite dans le module forum, ce qui pourrait être exploité à l'aide du paramètre tid (SA-CORE-2009-007). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2374">CVE-2009-2374</a> <p> Sumit Datta a découvert que certaine pages de Drupal 6 laissent fuir des renseignements sensibles comme les accréditations de l'utilisateur (SA-CORE-2009-007). </p></li> </ul> <p> Plusieurs défauts de conception dans le module OpenID ont été corrigés, ce qui pourrait conduire à des contrefaçons de requête intersite ou des augmentations de droits. Ainsi, la fonction d'envoi de fichier ne traite pas toutes les extensions correctement menant éventuellement à l'exécution de code arbitraire (SA-CORE-2009-008). </p> <p>La distribution oldstable (Etch) ne contient pas drupal6.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 6.6-3lenny3.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 6.14-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets drupal6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1930.data" # $Id: dsa-1930.wml,v 1.4 2010-12-17 14:40:37 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature