Bonjour, Voici une proposition de traduction pour une avalanche toute fraîche d'annonces de sécurité et quelques annonces plus anciennes. Merci d'avance pour vos relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Augmentation de droits/déni de service</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans le noyau FreeBSD qui pourraient conduire à un déni de service ou à une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-5691";>CVE-2013-5691</a> <p>Loganaden Velvindron et Gleb Smirnoff ont découvert que les requêtes ioctl SIOCSIFADDR, SIOCSIFBRDADDR, SIOCSIFDSTADDR et SIOCSIFNETMASK ne réalisent pas d'entrée de validation et ne vérifient pas l'identité de l'appelant. Un utilisateur sans droit ayant la capacité de lancer du code arbitraire pourrait forcer toute interface réseau du système à réaliser les actions de liens de couches associées avec les requêtes ioctl mentionnées ou déclencher un <q>kernel panic</q> en passant une structure d'adresse contrefaite pour l'occasion causant un déréférencement de pointeur invalide par un pilote d'interface réseau.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-5710";>CVE-2013-5710</a> <p>Konstantin Belousov a découvert que l'implémentation nullfs(5) de l'opération VFS VOP_LINK(9) ne vérifie pas si la source et la cible du lien sont dans la même instance nullfs. Il est donc possible de créer un lien d'un emplacement dans une instance nullfs vers un fichier dans une autre instance, tant que le système de fichiers sous-jacent est le même. Si de multiples vues nullfs dans dans le même système de fichiers sont montés à différents emplacements, un utilisateur pourrait obtenir accès à des fichiers dans un système de fichier en lecture seule.</p></li> </ul> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 9.0-10+deb70.4.</p> <p>Nous vous recommandons de mettre à jour vos paquets kfreebsd-9.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2769.data" # $Id: dsa-2769.wml,v 1.1 2013/10/09 14:10:23 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Contournement d'authentification</define-tag> <define-tag moreinfo> <p>John Fitzpatrick de MWR InfoSecurity a découvert une vulnérabilité de contournementan d'authentification dans torque, un système de file d'attente de traitement par lot dérivé de PBS.</p> <p>Le modèle d'authentification de torque repose sur l'utilisation de ports privilégiés. Si une requête n'est pas faite depuis un port privilégié, alors elle est considérée non fiable et non authentifiée. Il a été découvert que pbs_mom ne réalise pas de vérification pour assurer que les connexions soient établies depuis un port privilégié.</p> <p>Un utilisateur pouvant lancer des tâches ou se connecter à un nÅ?ud exécutant pbs_server ou pbs_mom peut exploiter cette vulnérabilité exécuter du code à distance en tant que superutilisateur sur la grappe en soumettant une commande directement à un démon pbs_mom pour ajouter une tâche à la file et l'exécuter.</p> <p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.4.8+dfsg-9squeeze2.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.4.16+dfsg-1+deb7u1.</p> <p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets torque.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2770.data" # $Id: dsa-2770.wml,v 1.1 2013/10/09 17:48:17 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Hamid Zamani a découvert de multiples problèmes de sécurité (dépassement de tampons, vulnérabilités de chaîne de formatage et absence de vérification des entrées). Cela pourrait permettre l'exécution de code arbitraire.</p> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.9.2-4squeeze1.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.9.3-5wheezy1.</p> <p>Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 1.9.3-6.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.3-6.</p> <p>Nous vous recommandons de mettre à jour vos paquets nas.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2771.data" # $Id: dsa-2771.wml,v 1.1 2013/10/09 17:48:17 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Script intersite</define-tag> <define-tag moreinfo> <p>Markus Pieton et Vytautas Paulikas ont découvert que le lecteur vidéo et audio embarqué dans le système de gestion de contenu web TYPO3 est vulnérable aux scripts intersites.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 4.5.19+dfsg1-5+wheezy1.</p> <p>Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 4.5.29+dfsg1-1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.5.29+dfsg1-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets typo3-src.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2772.data" # $Id: dsa-2772.wml,v 1.1 2013/10/12 17:12:12 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans GnuPG («·GNU privacy guard·»), un remplacement libre de PGP. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4351";>CVE-2013-4351</a> <p>Lorsqu'une clé ou une sous-clé a tous les flags de son sous-ensemble <q>key flags</q> désactivés, GnuPG traite actuellement la clé comme s'ils étaient tous activés. Cela signifie que quand le détenteur n'autorise aucun usage, GnuPG l'interprète comme si tous les usages étaient permis. De telles clés sont rares et ne sont utilisées qu'en des circonstances très spéciales.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4402";>CVE-2013-4402</a> <p>Une récursion infinie dans l'analyseur de paquet compressé était possible avec une donnée d'entrée contrefaite, ce qui pourrait être utilisé pour provoquer un déni de service.</p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.4.10-4+squeeze3.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.12-7+deb7u2.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.15-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets gnupg.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2773.data" # $Id: dsa-2773.wml,v 1.1 2013/10/12 17:12:12 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans GnuPG («·GNU privacy guard·»), un remplacement libre de PGP. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4351";>CVE-2013-4351</a> <p>Lorsqu'une clé ou une sous-clé a tous les flags de son sous-ensemble <q>key flags</q> désactivés, GnuPG traite actuellement la clé comme s'ils étaient tous activés. Cela signifie que quand le détenteur n'autorise aucun usage, GnuPG l'interprète comme si tous les usages étaient permis. De telles clés sont rares et ne sont utilisées qu'en des circonstances très spéciales.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4402";>CVE-2013-4402</a> <p>Une récursion infinie dans l'analyseur de paquet compressé était possible avec une donnée d'entrée contrefaite, ce qui pourrait être utilisé pour provoquer un déni de service.</p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 2.0.14-2+squeeze2.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.0.19-2+deb7u1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.0.22-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets gnupg2.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2774.data" # $Id: dsa-2774.wml,v 1.1 2013/10/12 17:12:12 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Utilisation non sûre de SSL</define-tag> <define-tag moreinfo> <p>ejabberd, un serveur Jabber/XMPP, utilise SSLv2 et des chiffrements faibles qui sont considérés non sûrs pour communiquer. Le logiciel ne propose pas d'option de configuration pour les désactiver. Cette mise à jour désactive l'utilisation de SSLv2 et des chiffrements faibles.</p> <p>Le paquet mis à jour pour Debian 7 (Wheezy) contient également d'autres corrections de bogues prévues à l'origine pour la prochaine mise à jour mineure.</p> <p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.1.5-3+squeeze2.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.1.10-4+deb7u1.</p> <p>Pour la distribution testing (Jessie) et la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets ejabberd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2775.data" # $Id: dsa-2775.wml,v 1.1 2013/10/12 17:12:12 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été corrigées dans l'environnement de gestion de contenu Drupal et résultant en la divulgation d'informations, une validation insuffisante, des scripts intersites et la contrefaçon de requêtes intersites.</p> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 6.28-1.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont déjà été corrigés dans le paquet drupal7.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont déjà été corrigés dans le paquet drupal7.</p> <p>Nous vous recommandons de mettre à jour vos paquets drupal6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2776.data" # $Id: dsa-2776.wml,v 1.1 2013/10/12 17:12:12 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans systemd par Sebastian Krahmer et Florian Weimer : une interaction non sûre avec DBUS pourrait conduire au contournement des restrictions Policykit et à l'augmentation de droits ou à un déni de service avec un dépassement d'entier dans journald et une vérification manquante des entrées dans les fichiers de traitement de l'extension de clavier X (XKB).</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 44-11+deb7u4.</p> <p>Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets systemd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2777.data" # $Id: dsa-2777.wml,v 1.1 2013/10/12 17:12:13 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Dépassement de tampon</define-tag> <define-tag moreinfo> <p>Robert Matthews a découvert que le module Apache FCGID, une implémentation de FastCGI pour le serveur HTTP Apache, échoue à réaliser des vérifications de borne adéquates sur les entrées fournies par l'utilisateur. Cela pourrait permettre à un attaquant distant de provoquer un dépassement de tas, resultant en un déni de service ou permettant éventuellement l'exécution de code arbitraire.</p> <p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1:2.3.6-1+squeeze2.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1:2.3.6-1.2+deb7u1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:2.3.9-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libapache2-mod-fcgid.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2778.data" # $Id: dsa-2778.wml,v 1.1 2013/10/12 17:12:13 tvincent-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature