Salut, Une annonce de sécurité a été publiée, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans PHP, le langage de script web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1938";>CVE-2011-1938</a> <p> Le traitement de socket UNIX permettait aux attaquants de déclencher un dépassement de tampon à l'aide d'un nom de chemin long. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2483";>CVE-2011-2483</a> <p> La fonction crypt_blowfish ne traitait pas correctement les caractères 8 bits, ce qui facilitait aux attaquants la détermination d'un mot de passe non chiffré en connaissant la somme de hachage du mot de passe. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4566";>CVE-2011-4566</a> <p> En utilisant des plateformes 32 bits, l'extension exif pourrait servir à déclencher un dépassement d'entier dans la fonction exif_process_IFD_TAG lors du traitement d'un fichier JPEG. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4885";>CVE-2011-4885</a> <p> Il était possible de déclencher des collisions de sommes de hachage prédictibles lors de l'analyse des paramètres de formulaire. Cela permet aux attaquants distants de provoquer un déni de service en envoyant de nombreux paramètres contrefaits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-0057";>CVE-2012-0057</a> <p> Lors de l'application d'une transformation XSLT contrefaite, un attaquant pourrait écrire des fichiers à des endroits arbitraires du système de fichiers. </p></li> </ul> <p> <strong>Remarque</strong> : le correctif pour <a href="http://security-tracker.debian.org/tracker/CVE-2011-2483";>CVE-2011-2483</a> demandait une modification du comportement de cette fonction : elle est maintenant incompatible avec certaines anciennes (mauvaises) sommes de hachage générées pour des mots de passes contenant des caractères 8 bits. Consultez l'entrée NEWS du paquet pour plus de précisions. Cette modifications n'a pas été appliquées à la version de PHP dans Lenny. </p> <p>Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 5.2.6.dfsg.1-1+lenny15.</p> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 5.3.3-7+squeeze6.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.3.9-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets php5.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2399.data" # $Id: dsa-2399.wml,v 1.3 2012-02-01 12:25:13 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature