[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2012/dsa-258{8,9}.wml



Salut,

Deux annonces de sécurité ont été publiées, par avance merci pour vos
relectures (vous remarquerez la subtile modification d'ordre des
paragraphes dans la DSA 2588 qui permet de rompre un petit peu la
monotonie engagée avec les DSA 2583 et 5284).

Amicalement

David


#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>
La bibliothèque tiff pour le traitement de fichiers image TIFF
contenait un dépassement de pile, permettant éventuellement
aux attaquants pouvant soumettre de tels fichiers à
un système vulnérable d'exécuter du code arbitraire.
</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.9.4-5+squeeze8.</p>

<p>
Pour la distribution testing (Wheezy) et la distribution unstable
(Sid), ce problème a été corrigé dans la version 4.0.2-1
du paquet tiff, et la version 3.9.6-10 du paquet tiff3.
</p>

<p>Nous vous recommandons de mettre à jour vos paquets tiff.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2589.data"
# $Id: dsa-2589.wml,v 1.1 2012-12-16 22:27:54 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans Icedove, la version Debian du
client de courrier électronique et lecteur de nouvelles Thunderbird de Mozilla.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4201";>CVE-2012-4201</a>
<p>
L'implémentation evalInSandbox utilise un contexte incorrect lors du
traitement de code JavaScript qui définit la propriété location.href.

Cela permet aux attaquants distants de réaliser des
attaques par script intersite (XSS) ou de lire des fichiers
arbitraires en tirant parti d'un greffon du bac à sable.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4207";>CVE-2012-4207</a>
<p>
L'implémentation du jeu de caractères HZ-GB-2312 ne traite pas
correctement un caractère ~ (tilde) à proximité d'un délimiteur de morceau.

Cela permet aux attaquants distants de réaliser des attaques
par script intersite (XSS) à l'aide d'un document contrefait.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4216";>CVE-2012-4216</a>
<p>
Une vulnérabilité d'utilisation de mémoire après libération dans
la fonction gfxFont::GetFontEntry permet aux attaquants distants
d'exécuter du code arbitraire ou de provoquer un déni de service
(corruption de mémoire de tas) par des moyens non précisés.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-5829";>CVE-2012-5829</a>
<p>
Un dépassement de tampon de tas dans la fonction nsWindow::OnExposeEvent
pourrait permettre aux attaquants distants d'exécuter du code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-5842";>CVE-2012-5842</a>
<p>
Plusieurs vulnérabilités non précisées dans le moteur du
navigateur pourraient permettre aux attaquants distants de
provoquer un déni de service (corruption de mémoire et plantage
d'application) ou éventuellement exécuter du code arbitraire.
</p></li>

</ul>

<p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.0.11-1+squeeze15.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 10.0.11-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets icedove.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2588.data"
# $Id: dsa-2588.wml,v 1.1 2012-12-16 13:54:16 taffit Exp $

Attachment: signature.asc
Description: OpenPGP digital signature


Reply to: