Salut, Quelques annonces de sécurité ont été publiées, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Iceweasel, la version Debian du navigateur web Firefox de Mozilla. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3982";>CVE-2012-3982</a>: <p> Plusieurs vulnérabilités non documentées dans le moteur du navigateur permettent aux attaquants distants de provoquer un déni de service (corruption de mémoire et plantage d'application) ou éventuellement d'exécuter du code arbitraire par des moyens inconnus. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3986";>CVE-2012-3986</a>: <p> Iceweasel ne restreint pas correctement les appels aux méthodes DOMWindowUtils. Cela permet aux attaquants distants de contourner les restrictions d'accès voulues à l'aide de code JavaScript contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3990";>CVE-2012-3990</a>: <p> Une vulnérabilité d'utilisation de mémoire après libération dans l'implémentation du gestionnaire d'état de la méthode d'entrée permet aux attaquants distants d'exécuter du code arbitraire par des moyens inconnus, liés à la fonction nsIContent::GetNameSpaceID. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3991";>CVE-2012-3991</a>: <p> Iceweasel ne restreint pas correctement l'accès JSAPI à la fonction GetProperty. Cela permet aux attaquants distants de contourner la politique de même origine et éventuellement avoir d'autres conséquences non documentées à l'aide d'un site web contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4179";>CVE-2012-4179</a>: <p> Une vulnérabilité d'utilisation de mémoire après libération dans la fonction nsHTMLCSSUtils::CreateCSSPropertyTxn permet aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire de tas) par des moyens inconnus. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4180";>CVE-2012-4180</a>: <p> Un dépassement de tampon de tas dans la fonction nsHTMLEditor::IsPrevCharInNodeWhitespace permet aux attaquants distants d'exécuter du code arbitraire par des moyens inconnus. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4182";>CVE-2012-4182</a>: <p> Une vulnérabilité d'utilisation de mémoire après libération dans la fonction nsTextEditRules::WillInsert permet aux attaquants distants distants d'exécuter du code arbitraire ou de provoquer un déni de service (corruption de mémoire de tas) par des moyens inconnus. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4186";>CVE-2012-4186</a>: <p> Un dépassement de tampon de tas dans la fonction nsWav-eReader::DecodeAudioData permet aux attaquants distants d'exécuter du code arbitraire par des moyens inconnus. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4188";>CVE-2012-4188</a>: <p> Un dépassement de tampon de tas dans la fonction Convolve3x3 permet aux attaquants distants d'exécuter du code arbitraire par des moyens inconnus. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.5.16-19.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 10.0.8esr-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2565.data" # $Id: dsa-2565.wml,v 1.1 2012-10-23 22:11:11 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Augmentation de droits</define-tag> <define-tag moreinfo> <p> cups-pk-helper, un assistant à PolicyKit pour configurer finement les droits de CUPS, enveloppe les appels de fonction CUPS de façon non sécurisée. Cela pourrait conduire à l'envoi de données sensibles à une ressource CUPS, ou à l'écrasement de fichiers particuliers par le contenu d'une ressource CUPS. L'utilisateur aurait à approuver explicitement l'action. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.1.0-3.</p> <p>Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.2.3-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets cups-pk-helper.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2562.data" # $Id: dsa-2562.wml,v 1.1 2012-10-23 18:58:41 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> gpernot a découvert que Tinyproxy, un mandataire (« proxy ») HTTP, est vulnérable au déni de service par des attaquants distants en envoyant des en-têtes de requête contrefaits. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.8.2-1squeeze3.</p> <p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 1.8.3-3.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.8.3-3.</p> <p>Nous vous recommandons de mettre à jour vos paquets tinyproxy.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2564.data" # $Id: dsa-2564.wml,v 1.1 2012-10-23 18:58:41 taffit Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans ViewVC, une interface web pour les dépôts CVS et Subversion. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-5024";>CVE-2009-5024</a> <p> Des attaquants distants peuvent contourner le réglage de configuration row_limit de cvsdb, et par conséquent réaliser des attaques de consommation de ressources par l'intermédiaire du paramètre de limite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3356";>CVE-2012-3356</a> <p> La fonctionnalité de vues distantes de Subversion ne vérifie pas correctement l'autorisation. Cela permet aux attaquants distants de contourner les restrictions d'accès voulues. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-3357";>CVE-2012-3357</a> <p> La vue de révision Subversion ne traite pas correctement les messages de journaux lorsqu'un chemin lisible est copié depuis un chemin non lisible. Cela permet aux attaquants distants d'obtenir des renseignements sensibles. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4533";>CVE-2012-4533</a> <p> Les lignes <q>fonction name</q> renvoyées par diff ne sont pas correctement protégées, permettant aux attaquants avec droits d'écriture de réaliser un script intersite. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1.1.5-1.1+squeeze2.</p> <p>Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.1.5-1.4.</p> <p>Nous vous recommandons de mettre à jour vos paquets viewvc.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2563.data" # $Id: dsa-2563.wml,v 1.1 2012-10-23 18:58:41 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature