Salut, Le 19/12/2011 13:20, Thomas Vincent a écrit : > Juste deux coquilles (dans la même ligne). Merci, et par avance merci pour vos dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Ansgar Burchardt, Mike O'Connor et Philipp Kern ont découvert plusieurs vulnérabilités dans DTC, une interface web de contrôle pour l'administration et la comptabilité de services d'hébergement. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3195";>CVE-2011-3195</a> <p> Une éventuelle insertion de shell a été découverte dans la gestion de listes de diffusion. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3196";>CVE-2011-3196</a> <p> Les droits du fichier apache2.conf n'étaient pas configurés correctement (lisible à tous). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3197";>CVE-2011-3197</a> <p> Une vérification incorrecte des entrées pour le paramètre $_SERVER["addrlink"] pourrait conduire à une insertion SQL. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3198";>CVE-2011-3198</a> <p> DTC utilisait l'option -b de htpasswd, révélant éventuellement le mot de passe en clair en utilisant ps ou en lisant /proc. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3199";>CVE-2011-3199</a> <p> Une éventuelle vulnérabilité d'insertion de HTML ou JavaScript a été découverte dans la section DNS & MX du panel utilisateur. </p></li> </ul> <p> Cette mise à jour corrige aussi plusieurs vulnérabilités pour lesquelles aucun identifiant CVE n'a été assigné. </p> <p> DTC ne réalise pas suffisamment de vérifications d'entrées dans l'installateur de paquets, permettant éventuellement l'utilisation d'un répertoire de destination indésirable pour les paquets installés si certains paquets d'application sont installés (remarquez qu'ils ne sont pas disponibles dans l'archive principale de Debian). </p> <p> DTC configurait /etc/sudoers avec des droits permissifs pour chrootuid. </p> <p> Une vérification incorrecte des entrées dans l'installateur de paquets pourrait conduire à une insertion SQL. </p> <p> Un utilisateur malveillant pourrait entrer un sujet de ticket d'aide contrefait pour l'occasion permettant une injection SQL dans draw_user_admin.php. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.29.18-1+lenny2.</p> <p>La distribution stable (Squeeze) ne contient pas dtc.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.34.1-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets dtc.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2365.data" # $Id: dsa-2365.wml,v 1.2 2011-12-19 17:37:24 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Vérification de permission incorrecte</define-tag> <define-tag moreinfo> <p> L'enveloppe Debian de X impose au serveur X de n'être démarré que depuis une console. <q>vladz</q> a découvert que cette enveloppe pourrait être contournée. </p> <p>La distribution oldstable (Lenny) n'est pas concernée.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 7.5+8+squeeze1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:7.6+10.</p> <p>Nous vous recommandons de mettre à jour vos paquets xorg.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2364.data" # $Id: dsa-2364.wml,v 1.1 2011-12-18 20:19:08 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans l'analyseur de trafic réseau Wireshark. Cela peut permettre l'exécution de code arbitraire ou un déni de service. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2560";>CVE-2009-2560</a> <p> Un déréférencement de pointeur NULL a été découvert dans le dissecteur RADIUS. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3550";>CVE-2009-3550</a> <p> Un déréférencement de pointeur NULL a été découvert dans le dissecteur DCERP/NT. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3829";>CVE-2009-3829</a> <p> Un dépassement d'entier a été découvert dans l'analyseur ERF. </p></li> </ul> <p> Cette mise à jour contient aussi des correctifs pour trois problèmes mineurs (<a href="http://security-tracker.debian.org/tracker/CVE-2008-1829";>CVE-2008-1829</a>, <a href="http://security-tracker.debian.org/tracker/CVE-2009-2562";>CVE-2009-2562</a> et <a href="http://security-tracker.debian.org/tracker/CVE-2009-3241";>CVE-2009-3241</a>) qui étaient prévus pour la prochaine mise à jour de stable. <a href="http://security-tracker.debian.org/tracker/CVE-2009-1268";>CVE-2009-1268</a> a aussi été corrigé pour Etch. Puisque la mise à jour de sécurité a été publiée avant la publication de la mise à jour de stable, les correctifs ont été inclus. </p> <p>Pour l'ancienne distribution stable (Etch), ce problème a été corrigé dans la version 0.99.4-5.etch.4.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.0.2-3+lenny7.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.2.3-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets wireshark.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1942.data" # $Id: dsa-1942.wml,v 1.1 2011-12-21 02:55:14 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Faiblesse cryptographique</define-tag> <define-tag moreinfo> <p> belpic, la bibliothèque PKCS11 de carte d'identité électronique Belge, ne vérifie pas correctement le résultat d'une fonction OpenSSL pour vérifier les signatures cryptographiques, ce qui pourrait être utilisé pour contourner la validation de certificat. </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 2.5.9-7.etch.1.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.6.0-6, qui a déjà été incluse dans la publication de Lenny.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème a été corrigé dans la version 2.6.0-6.</p> <p>Nous vous recommandons de mettre à jour vos paquets belpic.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1946.data" # $Id: dsa-1946.wml,v 1.1 2011-12-21 02:55:14 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature