Salut, Deux mises à jour de sécurité ont été mises en ligne, et j'en ai traduit trois plus anciennes, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordement de mémoire tampon basée sur la pile</define-tag> <define-tag moreinfo> <p> On a découvert que xml-security-c, une implémentation des spécifications de signature et chiffrement numériques XML, ne traite pas correctement les clefs RSA d'une taille de l'ordre d'au moins 8192 bits. Cela permet à un attaquant de planter des applications utilisant cette fonctionnalité ou éventuellement d'exécuter du code arbitraire en piégeant une application dans la vérification d'une signature créée avec une clef RSA suffisamment longue. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.4.0-3+lenny3.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.5.1-3+squeeze1.</p> <p>Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.6.1-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets xml-security-c.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2277.data" # $Id: dsa-2277.wml,v 1.2 2011-07-10 19:06:28 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs dénis de service</define-tag> <define-tag moreinfo> <p> Paul Belanger a signalé une vulnérabilité dans Asterisk identifiée par <a href="http://downloads.asterisk.org/pub/security/AST-2011-008.html">AST-2011-008</a> (<a href="http://security-tracker.debian.org/tracker/CVE-2011-2529">CVE-2011-2529</a>) à l'aide de laquelle un attaquant non authentifié pourrait planter un serveur Asterisk à distance. Un paquet contenant un caractère NULL force l'analyseur d'en-tête SIP à modifier les structures de mémoire non relatives. </p> <p> Jared Mauch a signalé une vulnérabilité dans Asterisk identifiée par <a href="http://downloads.asterisk.org/pub/security/AST-2011-009.html">AST-2011-009</a> à l'aide de laquelle un attaquant non authentifié pourrait planter un serveur Asterisk à distance. Si un utilisateur envoie un paquet avec un en-tête Contact contenant un crochet brisé ouvrant (<) manquant, le serveur plantera. Un contournement possible est de désactiver chan_sip. </p> <p> La vulnérabilité identifiée par <a href="http://downloads.asterisk.org/pub/security/AST-2011-010.html">AST-2011-010</a> (<a href="http://security-tracker.debian.org/tracker/CVE-2011-2535">CVE-2011-2535</a>) a été signalée à propos d'une erreur de validation d'entrée dans le pilote du canal IAX2. Un attaquant non authentifié pourrait planter un serveur Asterisk à distance en envoyant une trame de contrôle d'option trafiquée. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.4.21.2~dfsg-3+lenny3.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.6.2.9-2+squeeze3.</p> <p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 1:1.8.4.3-1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:1.8.4.3-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets asterisk.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2276.data" # $Id: dsa-2276.wml,v 1.1 2011-07-10 16:02:09 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Situation de compétition</define-tag> <define-tag moreinfo> <p> Sebastian Krahmer a découvert qu'une situation de compétition dans KDM, le gestionnaire d'écran de connexion de KDE, permet à un utilisateur local d'augmenter ses droits au niveau du superutilisateur. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 4:3.5.9.dfsg.1-6+lenny1.</p> <p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour votre paquet kdm.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2037.data" # $Id: dsa-2037.wml,v 1.1 2010-04-18 21:56:27 spaillard Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Débordement de zone de mémoire du système</define-tag> <define-tag moreinfo> <p> Un problème dans ejabberd_c2s.erl a été découvert dans ejabberd, un serveur XMPP/Jabber distribué écrit en Erlang, qui permet aux utilisateurs distants authentifiés de provoquer un déni de service en envoyant de un grand nombre de messages c2s (client2server). Cela déclenche une surcharge de la file, qui à son tour provoque un plantage du démon ejabberd. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.0.1-6+lenny2.</p> <p>Pour la distribution testing (Squeeze), ce problème a été corrigé dans la version 2.1.2-2.</p> <p>Pour la distribution testing (Sid), ce problème a été corrigé dans la version 2.1.2-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets ejabberd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2033.data" # $Id: dsa-2033.wml,v 1.1 2010-04-15 19:06:00 spaillard Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> On a découvert qu'imlib2, une bibliothèque pour charger et traiter plusieurs formats d'image, ne traitait pas correctement plusieurs types de fichiers d'image. </p> <p> Plusieurs débordements de mémoire tampon basée sur le tas et la pile â?? en partie à cause de débordements d'entier â?? dans les chargeurs ARGB, BMP, JPEG, LBM, PNM, TGA et XPM peuvent conduire à l'exécution de code arbitraire à l'aide de fichiers d'image trafiqués. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.4.0-1.2+lenny1.</p> <p>Pour la distribution testing (Squeeze), ce problème a été corrigé dans la version 1.4.2-1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.2-1.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2029.data" # $Id: dsa-2029.wml,v 1.1 2010-04-05 20:22:11 spaillard Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature