Bonjour, Deux nouvelles annonces de sécurité ont été publiées et j'en ai profité pour traduire quelques autres annonces plus anciennes. Merci d'avance pour vos relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Vérification d'entrées manquante</define-tag> <define-tag moreinfo> <p>On a découvert que mahara, un portfolio, blog et de créateur de C.V., est prédisposé aux attaques de script intersite (XSS) à cause de l'absence de vérification des entrées du champ de texte de présentation dans les profils utilisateurs et de tous les champs de texte dans une vue utilisateur.</p> <p>La distribution oldstable (Etch) ne contient pas mahara.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.0.4-4+lenny2.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.1.3-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mahara.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1778.data" # $Id: dsa-1778.wml,v 1.1 2009/04/22 17:13:37 nion Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans APT, l'interface bien connue de dpkg. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1300";>CVE-2009-1300</a> <p>Dans les fuseaux horaires où le changement d'heure se fait à minuit, le script apt cron.daily échoue, empêchant les mises à jour de sécurité d'être appliquées automatiquement.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1358";>CVE-2009-1358</a> <p>Un dépôt signé avec une clé OpenPGP expirée ou révoquée pourrait être toujours considéré valide par APT.</p></li> </ul> <p>Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 0.6.46.4-0.1+etch1.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 0.7.20.2+lenny1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.7.21.</p> <p>Nous vous recommandons de mettre à jour votre paquet apt.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1779.data" # $Id: dsa-1779.wml,v 1.2 2010/12/17 14:39:37 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Absence de vérification des entrées</define-tag> <define-tag moreinfo> <p>Raphael Geissert a découvert que uscan, un programme pour vérifier la disponibilité de nouvelles versions de code source et qui fait partie du paquet devscripts, exécute du code Perl téléchargé depuis des sources éventuellement non sûres pour implémenter sa fonctionalité de manipulation d'URL et de version. Cette mise à jour corrige le problème en réimplémentant les opérateurs Perl pertinents sans avoir recours à l'interpréteur Perl et en essayant de préserver autant que possible la rétrocompatibilité.</p> <p>Pour l'ancienne distribution stable (Etch), ce problème a été corrigé dans la version 2.9.26etch4.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.10.35lenny6.</p> <p>Pour la distribution unstable (Sid), ce problème sera corrigé dans la version 2.10.54.</p> <p>Nous vous recommandons de mettre à jour votre paquet devscripts.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1878.data" # $Id: dsa-1878.wml,v 1.1 2009/09/02 19:08:47 fw Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans la suite logicielle pour le protocole SILC, un protocole réseau conçu pour fournir une sécurité de bout en bout pour les services de conférence. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-7159";>CVE-2008-7159</a> <p>Une chaîne de formatage incorrecte dans sscanf() utilisée dans l'encodeur ASN1 pour scanner une valeur OID pourrait écraser une variable voisine dans la pile quand le type de données de destination est plus petit que le type source en 64 bits. Sur les architectures 64 bits, cela pourrait conduire à un comportement d'application inattendu ou même à l'exécution de code dans certains cas.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3051";>CVE-2009-3051</a> <p>Diverses vulnérabilités de chaîne de formatage lors du traitement des messages SILC permettent à un attaquant d'exécuter du code arbitraire avec les droits de la victime exécutant le client SILC via des pseudonymes ou noms de canaux contrefaits contenant des chaînes de formatage.</li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-7160";>CVE-2008-7160</a> <p>Une chaîne de formatage incorrecte dans un appel sscanf() utilisé dans le composant serveur HTTP de silcd pourrait entraîner l'écrasement d'une variable voisine dans la pile quand le type de données de destination est plus petit que le type source en 64 bits. Un attaquant pourrait exploiter cela en utilisant des valeurs d'en-têtes Content-Length contrefaits, ce qui pourrait conduire à un comportement inattendu ou même à l'exécution de code dans certains cas.</p></li> </ul> <p>silc-server ne nécessite pas de mise à jour puisqu'il utilise la bibliothèque partagée fournie par silc-toolkit. silc-client/silc-toolkit dans l'ancienne distribution stable (Etch) n'est pas affecté par ce problème.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.1.7-2+lenny1 de silc-toolkit et dans version 1.1.4-1+lenny1 of silc-client.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.1.10-1 de silc-toolkit et version 1.1-2 de silc-client (en utilisant libsilc depuis silc-toolkit à partir de cet upload).</p> <p>Nous vous recommandons de mettre à jour vos paquets silc-toolkit/silc-client.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1879.data" # $Id: dsa-1879.wml,v 1.2 2010/12/17 14:40:13 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Erreur de traitement</define-tag> <define-tag moreinfo> <p>On a découvert que sudo traitait mal les masques réseau utilisés dans les stanzas Host et Host_List. Cela permettait l'exécution de commandes sur les hôtes où l'utilisateur ne serait pas autorisé à lancer ces commandes.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.7.4p4-2.squeeze.3.</p> <p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets sudo.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2478.data" # $Id: dsa-2478.wml,v 1.1 2012/05/23 20:45:12 kaare Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Décalage</define-tag> <define-tag moreinfo> <p>Jueri Aedla a découvert un décalage dans libxml2 qui pourrait mener à l'exécution de code arbitraire.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.7.8.dfsg-2+squeeze4.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.7.8.dfsg-9.1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libxml2.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2479.data" # $Id: dsa-2479.wml,v 1.1 2012/05/23 20:45:34 kaare Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature