Salut, Deux mises à jour de sécurité ont été mises en ligne (les relecteurs attentifs risquent de remarquer quelques similitudes), et j'en ai traduit une plus ancienne (les relecteurs ayant bonne mémoire risquent de se souvenir d'un fichier envoyé ici il y a deux mois en voyant le début, mais la fin est vraiment nouvelle), par avance merci pour vos relectures. David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Dépassement de tampon</define-tag> <define-tag moreinfo> <p> La prise en charge de Kerberos pour telnetd contient un dépassement de tampon de préauthentification, ce qui pourrait permettre aux attaquants distants qui peuvent se connecter à TELNET d'exécuter du code arbitraire avec droits du superutilisateur. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.2.dfsg.1-2.1+lenny1.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.4.0~git20100726.dfsg.1-2+squeeze1.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets heimdal.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2372.data" # $Id: dsa-2372.wml,v 1.1 2011-12-25 17:36:59 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Dépassement de tampon</define-tag> <define-tag moreinfo> <p> La prise en charge de Kerberos pour telnetd contient un dépassement de tampon de préauthentification, ce qui pourrait permettre aux attaquants distants qui peuvent se connecter à TELNET d'exécuter du code arbitraire avec droits du superutilisateur. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2:1.5.dfsg.1-9+lenny1.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2:1.6-3.1+squeeze1.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets inetutils.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2373.data" # $Id: dsa-2373.wml,v 1.1 2011-12-25 17:36:59 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans WebKit, une bibliothèque de moteur de rendu de pages web pour GTK+. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0945";>CVE-2009-0945</a> <p> Une erreur d'indexation de tableau dans la méthode insertItemBefore de WebKit, permet aux attaquants distants d'exécuter du code arbitraire à l'aide d'un document avec une structure de données SVGPathList contenant un indice négatif dans les objets SVGList SVGTransformList, SVGStringList, SVGNumberList, SVGPathSegList, SVGPointList ou SVGLengthList, ce qui déclenche une corruption de mémoire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1687";>CVE-2009-1687</a> <p> Le ramasse-miettes JavaScript de WebKit ne traite pas correctement les échecs d'allocation. Cela permet aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire et plantage d'application) à l'aide d'un document HTML contrefait qui déclenche un accès en écriture à l'adresse d'un pointeur NULL. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1690";>CVE-2009-1690</a> <p> Une vulnérabilité d'utilisation de mémoire après libération dans WebKit permet aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire et plantage d'application) en configurant une propriété d'étiquette HTML non définie qui force la libération des éléments fils puis leur accès plus tard quand survient une erreur HTML, en lien avec la récursion dans certains gestionnaires d'événement DOM. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1698";>CVE-2009-1698</a> <p> WebKit n'initialise pas un pointeur lors du traitement d'un appel de fonction attr de feuilles de style en cascade (CSS) avec un argument numérique de grande taille. Cela permet aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire et plantage d'application) à l'aide d'un document HTML contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1711";>CVE-2009-1711</a> <p> WebKit n'initialise pas correctement la mémoire pour les objets DOM Attr. Cela permet aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service (plantage d'application) à l'aide d'un document HTML contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1712";>CVE-2009-1712</a> <p> WebKit n'empêche pas le chargement distant d'applettes Java. Cela permet aux attaquants distants d'exécuter du code arbitraire, d'augmenter leurs droits ou d'obtenir des renseignements sensibles à l'aide d'un élément APPLET ou OBJECT. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1725";>CVE-2009-1725</a> <p> WebKit ne traite pas correctement les références de caractères numériques. Cela permet aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire et plantage d'application) à l'aide d'un document HTML contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1714";>CVE-2009-1714</a> <p> Une vulnérabilité de script intersite (XSS) dans Web Inspector de WebKit permet aux attaquants distants aidés par un utilisateur d'injecter un script web arbitraire ou du HTML et de lire des fichiers locaux à l'aide de moyens relatifs à la protection incorrecte d'attributs HTML. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1710";>CVE-2009-1710</a> <p> WebKit permet aux attaquants distants d'usurper l'affichage du nom d'hôte, des indicateurs de sécurité et d'autres éléments non précisés de l'interface utilisateur du navigateur à l'aide d'un curseur personnalisé en conjonction avec une propriété de zone cliquable (<q>hotspot</q>) CSS3 modifiée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1697";>CVE-2009-1697</a> <p> Une vulnérabilité d'injection de fin de ligne (CRLF) dans WebKit permet aux attaquants distants d'injecter des en-têtes HTTP et de contourner la politique de même origine à l'aide d'un document HTML contrefait, en lien avec des attaques de script intersite (XSS) qui dépendent de communication avec des sites web arbitraires sur le même serveur à l'aide de XMLHttpRequest sans en-tête Host. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1695";>CVE-2009-1695</a> <p> Une vulnérabilité de script intersite (XSS) dans WebKit permet aux attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide de moyens impliquant l'accès aux contenus de trame après la fin d'une transition de page. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1693";>CVE-2009-1693</a> <p> WebKit permet aux attaquants distants de lire des images à partir de sites web arbitraires à l'aide d'un élément CANVAS avec une image SVG, en lien avec un problème de capture d'image intersite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1694";>CVE-2009-1694</a> <p> WebKit ne traite pas correctement les redirections. Cela permet aux attaquants distants de lire des images à partir de sites web arbitraires à l'aide de moyens impliquant un élément CANVAS et une redirection, en lien avec un problème de capture d'image intersite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1681";>CVE-2009-1681</a> <p> WebKit n'empêche pas les sites web de charger du contenu de tiers dans une sous-trame. Cela permet aux attaquants distants de contourner la politique de même origine et de mener des attaques par détournement de clic à l'aide d'un document HTML contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1684";>CVE-2009-1684</a> <p> Une vulnérabilité de script intersite (XSS) dans WebKit permet aux attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide d'un gestionnaire d'événement qui déclenche l'exécution de script dans le contexte du prochain document chargé. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1692";>CVE-2009-1692</a> <p> WebKit permet aux attaquants distants de provoquer un déni de service (consommation de mémoire ou réinitialisation de périphérique) à l'aide d'une page web contenant un objet HTMLSelectElement avec un grand attribut length, en lien avec la propriété length d'un objet Select. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.0.1-4+lenny2.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.1.16-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet webkit.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1950.data" # $Id: dsa-1950.wml,v 1.2 2010-12-17 14:40:44 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature