Salut, Deux mises à jour de sécurité ont été mises en ligne, et j'en ai traduit quelques autres plus anciennes, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Vérification de limites manquante</define-tag> <define-tag moreinfo> <p> Matthew Hall a découvert que GNUTLS ne traite pas correctement les structures GenericBlockCipher tronquées imbriquées dans des enregistrements TLS, avec pour conséquence des plantages d'applications utilisant la bibliothèque GNUTLS. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.8.6-1+squeeze2.</p> <p> Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.12.18-1 du paquet gnutls26 paquet et la version 3.0.17-2 du paquet gnutls28. </p> <p>Nous vous recommandons de mettre à jour vos paquets gnutls26.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2441.data" # $Id: dsa-2441.wml,v 1.1 2012-03-25 19:32:26 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Vérification de limites manquante</define-tag> <define-tag moreinfo> <p> Matthew Hall a découvert que plusieurs appelants de la fonction asn1_get_length_der ne vérifiaient pas le résultat par rapport à la longueur globale du tampon avant de continuer son traitement. Cela pourrait avoir pour conséquence des accès mémoire hors limites et des plantages d'application. Les applications utilisant GNUTLS sont concernées par ce problème. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.7-1+squeeze+1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.12-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libtasn1-3.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2440.data" # $Id: dsa-2440.wml,v 1.1 2012-03-25 12:25:14 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été identifiées dans Xpdf, un ensemble d'outils pour afficher et convertir les fichiers Portable Document Format (PDF).</p> <p> Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0146";>CVE-2009-0146</a> <p> Plusieurs dépassements de tampon dans le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, et d'autres produits permettent aux attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier PDF contrefait, en lien avec (1) JBIG2SymbolDict::setBitmap et (2) JBIG2Stream::readSymbolDictSeg. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0147";>CVE-2009-0147</a> <p> Plusieurs dépassements d'entier dans le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, et d'autres produits permettent aux attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier PDF contrefait, en lien avec (1) JBIG2Stream::readSymbolDictSeg, (2) JBIG2Stream::readSymbolDictSeg et (3) JBIG2Stream::readGenericBitmap. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0165";>CVE-2009-0165</a> <p> Un dépassement d'entier dans le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, tel qu'utilisé dans Poppler et d'autres produits, quand il est exécuté sous Mac OS X, a des conséquence indéterminées, en lien avec <q>*allocn</q>. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0166";>CVE-2009-0166</a> <p> Le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, et d'autres produits permet aux attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier PDF contrefait qui déclenche une libération de mémoire non initialisée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0799";>CVE-2009-0799</a> <p> Le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permet aux attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier PDF contrefait qui déclenche une lecture hors limites. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0800";>CVE-2009-0800</a> <p> Plusieurs <q>défauts de validation d'entrée</q> dans le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permettent aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1179";>CVE-2009-1179</a> <p> Un dépassement d'entier dans le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permet aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1180";>CVE-2009-1180</a> <p> Le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permet aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait qui déclenche une libération de données non valables. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1181";>CVE-2009-1181</a> <p> Le décodeur JBIG2 de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permet aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait qui déclenche un déréférencement de pointeur NULL. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1182";>CVE-2009-1182</a> <p> Plusieurs dépassement de tampons dans le décodeur JBIG2 MMR de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permettent aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1183";>CVE-2009-1183</a> <p> Le décodeur JBIG2 MMR de Xpdf 3.02pl2 et versions précédentes, CUPS 1.3.9 et versions précédentes, Poppler avant la version 0.10.6, et d'autres produits permet aux attaquants distants de provoquer un déni de service (boucle infinie et suspension d'application) à l'aide d'un fichier PDF contrefait. </p></li> </ul> <p>Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 3.01-9.1+etch6.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 3.02-1.4+lenny1.</p> <p> Pour la distribution unstable (Sid), ces problèmes seront corrigés dans une future version. </p> <p>Nous vous recommandons de mettre à jour vos paquets xpdf.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1790.data" # $Id: dsa-1790.wml,v 1.2 2010-12-17 14:39:42 taffit-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> KPDF, un lecteur de Portable Document Format (PDF) pour KDE, est basé sur le programme Xpdf, il est donc victime de problèmes similaires à ceux décrits en <a href="dsa-1790">DSA-1790</a>. </p> <p> Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0146";>CVE-2009-0146</a> <p> Plusieurs dépassements de tampon dans le décodeur JBIG2 de KPDF permettent aux attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier PDF contrefait, en lien avec (1) JBIG2SymbolDict::setBitmap et (2) JBIG2Stream::readSymbolDictSeg. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0147";>CVE-2009-0147</a> <p> Plusieurs dépassements d'entier dans le décodeur JBIG2 de KPDF permettent aux attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier PDF contrefait, en lien avec (1) JBIG2Stream::readSymbolDictSeg, (2) JBIG2Stream::readSymbolDictSeg et (3) JBIG2Stream::readGenericBitmap. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0165";>CVE-2009-0165</a> <p> Un dépassement d'entier dans le décodeur JBIG2 de KPDF a des conséquence indéterminées, en lien avec <q>*allocn</q>. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0166";>CVE-2009-0166</a> <p> Le décodeur JBIG2 de KPDF permet aux attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier PDF contrefait qui déclenche une libération de mémoire non initialisée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0799";>CVE-2009-0799</a> <p> Le décodeur JBIG2 de KPDF permet aux attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier PDF contrefait qui déclenche une lecture hors limites. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0800";>CVE-2009-0800</a> <p> Plusieurs <q>défauts de validation d'entrée</q> dans le décodeur JBIG2 de KPDF permettent aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1179";>CVE-2009-1179</a> <p> Un dépassement d'entier dans le décodeur JBIG2 de KPDF permet aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1180";>CVE-2009-1180</a> <p> Le décodeur JBIG2 de KPDF permet aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait qui déclenche une libération de données non valables. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1181";>CVE-2009-1181</a> <p> Le décodeur JBIG2 de KPDF permet aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait qui déclenche un déréférencement de pointeur NULL. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1182";>CVE-2009-1182</a> <p> Plusieurs dépassement de tampons dans le décodeur JBIG2 MMR de KPDF permettent aux attaquants distants d'exécuter du code arbitraire à l'aide d'un fichier PDF contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1183";>CVE-2009-1183</a> <p> Le décodeur JBIG2 MMR de KPDF permet aux attaquants distants de provoquer un déni de service (boucle infinie et suspension d'application) à l'aide d'un fichier PDF contrefait. </p></li> </ul> <p>Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 3.5.5-3etch3.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 3.5.9-3+lenny1.</p> <p>Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets kdegraphics.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1793.data" # $Id: dsa-1793.wml,v 1.2 2010-12-17 14:39:45 taffit-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs problèmes de sécurité ont été découvertes dans LittleCMS, une bibliothèque de gestion de couleurs. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0581";>CVE-2009-0581</a> <p> Chris Evans a découvert que LittleCMS est concerné par une fuite de mémoire, qui pourrait conduire à un déni de service à l'aide de fichiers image contrefaits pour l'occasion. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0723";>CVE-2009-0723</a> <p> Chris Evans a découvert que LittleCMS est prédisposé à plusieurs dépassements d'entier à l'aide de fichiers image contrefaits pour l'occasion. Cela pourrait permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0733";>CVE-2009-0733</a> <p> Chris Evans a découvert le manque de vérification de frontière haute des tailles menant à un dépassement de tampon, ce qui pourrait être utilisé pour exécuter du code arbitraire. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.17.dfsg-1+lenny1.</p> <p>Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 1.15-1.1+etch2.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets lcms.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1745.data" # $Id: dsa-1745.wml,v 1.3 2010-12-17 14:39:28 taffit-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été identifiées dans OpenJDK, une implémentation de la plateforme Java SE. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2006-2426";>CVE-2006-2426</a> <p> La création de grandes polices temporaires pourrait utiliser tout l'espace disque disponible, avec pour conséquence une condition de déni de service. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0581";>CVE-2009-0581</a> / <a href="http://security-tracker.debian.org/tracker/CVE-2009-0723";>CVE-2009-0723</a> / <a href="http://security-tracker.debian.org/tracker/CVE-2009-0733";>CVE-2009-0733</a> / <a href="http://security-tracker.debian.org/tracker/CVE-2009-0793";>CVE-2009-0793</a> <p> Plusieurs vulnérabilités existaient dans la bibliothèque LittleCMS embarquée, exploitable à l'aides d'images contrefaites : une fuite de mémoire, avec pour conséquence une condition de déni de service (<a href="http://security-tracker.debian.org/tracker/CVE-2009-0581";>\ CVE-2009-0581</a>), des dépassements de tampon basés sur le tas, permettant éventuellement l'exécution de code arbitraire (<a href="http://security-tracker.debian.org/tracker/CVE-2009-0723";>CVE-2009-0723</a>, <a href="http://security-tracker.debian.org/tracker/CVE-2009-0733";>\ CVE-2009-0733</a>), et un déréférencement de pointeur nul, avec pour conséquence un déni de service (<a href="http://security-tracker.debian.org/tracker/CVE-2009-0793";>CVE-2009-0793</a>). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1093";>CVE-2009-1093</a> <p> L'implémentation de serveur LDAP (de com.sun.jdni.ldap) ne fermait pas correctement les sockets si une erreur a été rencontrée, avec pour conséquence une condition de déni de service. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1094";>CVE-2009-1094</a> <p> L'implémentation de client LDAP (de com.sun.jdni.ldap) permettait aux serveurs LDAP malveillants d'exécuter du code arbitraire sur le client. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1101";>CVE-2009-1101</a> <p> L'implémentation de serveur HTTP (sun.net.httpserver) contenait une vulnérabilité de déni de service non communiquée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1095";>CVE-2009-1095</a> / <a href="http://security-tracker.debian.org/tracker/CVE-2009-1096";>CVE-2009-1096</a> / <a href="http://security-tracker.debian.org/tracker/CVE-2009-1097";>CVE-2009-1097</a> / <a href="http://security-tracker.debian.org/tracker/CVE-2009-1098";>CVE-2009-1098</a> <p> Plusieurs problèmes dans Java Web Start ont été corrigés. Les paquets Debian ne prennent actuellement pas en charge Java Web Start, donc ces problèmes ne sont pas directement exploitables, mais le code correspondant a tout de même été mis à jour. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 9.1+lenny2.</p> <p>Nous vous recommandons de mettre à jour vos paquets openjdk-6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1769.data" # $Id: dsa-1769.wml,v 1.2 2010-12-17 14:39:34 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature