Salut, Une annonce de sécurité a été publiée, et j'en ai traduit une plus ancienne, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans la boîte à outils d'autocommutateur (PBX) et téléphonie Asterisk. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2947";>CVE-2012-2947</a> <p> Le pilote de canal IAX2 permet aux attaquants distants de provoquer un déni de service (plantage du démon) en plaçant un appel en attente (quand un certain réglage de mohinterpret est activé). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2948";>CVE-2012-2948</a> <p> Le pilote de canal Skinny permet aux utilisateurs distants authentifiés de provoquer un déni de service (déréférencement de pointeur NULL et plantage du démon) en fermant une connexion en mode décroché. </p></li> </ul> <p> De plus, Asterisk ne configure pas l'option alwaysauthreject par défaut dans le pilote de canal SIP. Cela permet aux attaquants distants d'observer une différence de comportement dans la réponse et la vérification de présence des noms de comptes (<a href="http://security-tracker.debian.org/tracker/CVE-2011-2666";>CVE-2011-2666</a>). Les administrateurs système concernés par cette vulnérabilité d'énumération des utilisateurs devraient activer l'option alwaysauthreject dans la configuration. Nous n'avons pas l'intention de modifier le réglage par défaut dans la version stable (Asterisk 1.6) afin de préserver la compatibilité ascendante. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:1.6.2.9-2+squeeze6.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1:1.8.13.0~dfsg-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets asterisk.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2493.data" # $Id: dsa-2493.wml,v 1.1 2012-06-13 02:00:40 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Dépassement de tampon</define-tag> <define-tag moreinfo> <p> Le composant SIEVE de cyrus-imapd et kolab-cyrus-imapd, le système de courrier Cyrus, est vulnérable à un dépassement de tampon lors du traitement de scripts SIEVE. Cela peut être utilisé pour augmenter ses droits au niveau de ceux de l'utilisateur système cyrus. Un attaquant capable d'installer des scripts SIEVE exécutés par le serveur est donc en mesure de lire et modifier des courriers arbitraires sur le système. La mise à jour introduite en <a href="$(HOME)/security/2009/dsa-1881">\ DSA 1881-1</a> n'était pas complète et le problème a reçu un identifiant CVE supplémentaire à cause de sa complexité. </p> <p> Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 2.2.13-10+etch4 pour cyrus-imapd-2.2 et la version 2.2.13-2+etch2 pour kolab-cyrus-imapd. </p> <p> Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.2.13-14+lenny3 pour cyrus-imapd-2.2 et la version 2.2.13-5+lenny2 pour kolab-cyrus-imapd.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p> Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.2.13-15 pour cyrus-imapd-2.2, et sera bientôt corrigé pour kolab-cyrus-imapd. </p> <p>Nous vous recommandons de mettre à jour vos paquets cyrus-imapd-2.2 et kolab-cyrus-imapd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1893.data" # $Id: dsa-1893.wml,v 1.1 2009-09-23 18:33:55 spaillard Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature