Le 02/12/2011 10:57, Thomas Vincent a écrit : > Quelques corrections. Intégrées, merci, et par avance merci pour vos dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une implémentation de la plateforme Java. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3389";>CVE-2011-3389</a> <p> L'implémentation TLS ne protège pas correctement contre certaines attaques à texte clair choisi (<q>chosen-plaintext</q>) lorsque des chiffrements de blocs sont utilisés en mode d'enchaînement des blocs (CBC). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3521";>CVE-2011-3521</a> <p> L'implémentation CORBA contient une vulnérabilité de désérialisation dans l'implémentation IIOP, permettant au code Java non fiable (comme les applettes) d'augmenter ses droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3544";>CVE-2011-3544</a> <p> Le moteur de script Java manque de vérifications nécessaires du gestionnaire de sécurité, permettant au code Java non fiable (comme les applettes) d'augmenter ses droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3547";>CVE-2011-3547</a> <p> La méthode skip() de java.io.InputStream utilise un tampon partagé, permettant au code Java non fiable (comme les applettes) d'accéder aux données qui sont sautées par un autre code. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3548";>CVE-2011-3548</a> <p> La classe java.awt.AWTKeyStroke contient un défaut qui permet au code Java non fiable (comme les applettes) d'augmenter ses droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3551";>CVE-2011-3551</a> <p> Le code C Java2D contient un débordement d'entier qui induit un dépassement de tas, permettant éventuellement au code Java non fiable (comme les applettes) d'augmenter ses droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3552";>CVE-2011-3552</a> <p> Du code Java malveillant peut utiliser un nombre excessif de ports UDP, conduisant à un déni de service. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3553";>CVE-2011-3553</a> <p> JAX-WS active des traces de pile pour certaines réponses du serveur par défaut, permettant une éventuelle fuite de renseignements sensibles. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3554";>CVE-2011-3554</a> <p> Les fichiers JAR au format pack200 ne sont pas correctement vérifiés pour les erreurs, permettant éventuellement l'exécution de code arbitraire lors du dépaquetage de fichiers pack200 contrefaits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3556";>CVE-2011-3556</a> <p> Le serveur de registre RMI manque de restrictions d'accès pour certaines méthodes, permettant à un client distant d'exécuter du code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3557";>CVE-2011-3557</a> <p> Le serveur de registre RMI échoue à restreindre correctement les droits du code Java non fiable, permettant aux clients RMI d'augmenter leurs droits sur le serveur de registre RMI. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3560";>CVE-2011-3560</a> <p> La classe com.sun.net.ssl.HttpsURLConnection ne réalise pas correctement les vérifications du gestionnaire de sécurité dans la méthode setSSLSocketFactory(), permettant au code Java non fiable de contourner les restrictions de la politique de sécurité. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 6b18-1.8.10-0+squeeze1.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 6b23~pre11-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openjdk-6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2356.data" # $Id: dsa-2356.wml,v 1.2 2011-12-02 16:23:14 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="" <define-tag description>Vulnérabilité de chaîne de formatage</define-tag> <define-tag moreinfo> <p> Leo Iannacone et Colin Watson ont découvert une vulnérabilité de chaîne de formatage dans les liaisons(<q>bindings</q>) Python pour le système de modèles HTML Clearsilver, ce qui pourrait conduire à un déni de service ou l'exécution de code arbitraire. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.10.4-1.3+lenny1.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.10.5-1+squeeze1.</p> <p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets clearsilver.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2355.data" # $Id: dsa-2355.wml,v 1.1 2011-12-01 16:40:49 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>fonction d'échappement manquante</define-tag> <define-tag moreinfo> <p> PyGreSQL, un module PostgreSQL pour Python, n'avait pas de fonction pour appeler PQescapeStringConn(). C'est nécessaire car PQescapeStringConn() respecte le jeu de caractères de la connexion et évite des protections insuffisantes quand certains encodages de caractères multioctets sont utilisés. La nouvelle fonction s'appelle pg_escape_string(), et prend la connexion à la base de données en premier argument. L'ancienne fonction escape_string() a aussi été gardée pour la compatibilité ascendante. </p> <p> Nous recommandons aux développeurs utilisant ces liaisons d'ajuster leur code pour utiliser la nouvelle fonction. </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 1:3.8.1-1etch2.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1:3.8.1-3+lenny1.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1:4.0-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets pygresql.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1911.data" # $Id: dsa-1911.wml,v 1.2 2011-12-02 16:23:15 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>attaque de lien symbolique</define-tag> <define-tag moreinfo> <p> Sylvain Beucler a découvert que GForge, un système de gestion de développement collaboratif de logiciels, est prédisposé à une attaque de lien symbolique. Cela permet aux utilisateurs locaux de réaliser une attaque par déni de service en écrasant des fichiers arbitraires. </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 4.5.14-22etch13.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 4.7~rc2-7lenny3.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.8.2-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets gforge.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1945.data" # $Id: dsa-1945.wml,v 1.1 2011-12-01 16:40:51 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature