Bonjour à tous,
Voici mon ballot de 5. Merci d'avance de vos relectures.
Thomas.
<define-tag moreinfo>La version de samba distributée dans Debian GNU/Linux 2.1 a quelques problèmes de sécurité : <ul> <li>une attaque par saturation contre <code>nmbd</code> était possible ; <li>il était aussi possible de pirater <code>smbd</code> si vous aviez un message de commande défini utilisant les balises de format %f ou %M. <li>la vérification de <code>smbmnt</code> si un utilisateur peut créer un montage permettait anormalement aux utilisateurs de monter n'importe où dans le système de fichiers. </ul>
<p>Ces problèmes sont réglés dans la version 2.0.5a-1. Une mise à jour immédiate des paquets samba est nécessaire. <p>Remarquez que ceci constitue une mise à jour majeure. Donc, soyez prudent durant la mise à niveau car certains changements dans le fichier de configuration seront nécessaires. La localisationde ce fichier a d'ailleurs changé (/etc/samba). <p>Le paquet smbfsx est rendu obsolète avec cette version et est remplacé par smbfs, qui fonctionne avec les noyaus 2.0 et 2.2 dorénavant.</define-tag> <define-tag description>Problèmes de sécurité corrigés dans la nouvelle version originale</define-tag> # do not modify the following line #include '$(ENGLISHDIR)/security/1999/19990804.data' #use wml::debian::translation-check translation="1.6" maintainer="Thomas Marteau"
<define-tag moreinfo>Nous avons appris que la version de mailman fourni par Debian GNU/Linux 2.1 rencontre un problème en vérifiant les administrateurs des listes. La génération de chiffre pour le témoin de connexion (<i>cookie</i>) était prédictible. Ainsi, en se fabriquant son propre témoin valide, il était possible d'accéder aux pages d'administration sans connaître pour autant le mot de passe. Plus d'informations à propos de cette vulnérabilité ici : <fileurl http://www.python.org/pipermail/mailman-developers/1999-June/001128.html>. Ceci est réparé dans la version 1.0rc2-5.</define-tag> <define-tag description>Autentification peu sure de l'administrateur</define-tag> # do not modify the following line #include '$(ENGLISHDIR)/security/1999/19990623.data' #use wml::debian::translation-check translation="1.6" maintainer="Thomas Marteau"
<define-tag moreinfo>Nous avons reçu des rapports comme quoi le paquet man-db fourni dans Debian GNU/Linux 2.1 contient une version vulnérable du programme zsoelim : Il était une victime potentielle d'une attaque par lien symbolique. Ceci a été réparé dans la version 2.3.10-69FIX.1</define-tag> <define-tag description>Attaque par lien symbolique</define-tag> # do not modify the following line #include '$(ENGLISHDIR)/security/1999/19990612.data' #use wml::debian::translation-check translation="1.5" maintainer="Thomas Marteau"
<define-tag moreinfo>La version des outils imap dans Debian GNU/Linux 2.1 contient un démon POP-2, qui fait partie du paquet ipopd, vulnérable. En utilisant cette faiblesse, il est possible pour un utilisateur distant d'entrer en mode commande comme l'utilisateur <i>nobody</i> sur le serveur.</define-tag> <define-tag description>Vulnérabilité dans le démon POP-2</define-tag> # do not modify the following line #include '$(ENGLISHDIR)/security/1999/19990607a.data' #use wml::debian::translation-check translation="1.7" maintainer="Thomas Marteau"
<define-tag moreinfo>Les noyaux Linux 2.2.x ont un problème pour analyser les options IP ce qui rend une attaque par saturation possible. La version 2.1 de Debian GNU/Linux (<i>slink</i>) pour l'architecture SPARC de Sun utilise de tels noyaux. Si vous utilisez un tel système et que vous n'avez pas mis à jour votre noyau par vos propres soins, nous vous recommandons de mettre à jour le paquet kernel-image. Si votre machine est une sun4, utilisez kernel-image-2.2.9-sun4u. Sinon, le paquet kernel-image-2.2.9 fera l'affaire. Seule cet architecture utilise un noyau 2.2 par défault dans la version <i>slink</i>.</define-tag> <define-tag description>Refus de service dans les noyaux 2.2.x</define-tag> # do not modify the following line #include '$(ENGLISHDIR)/security/1999/19990607.data' #use wml::debian::translation-check translation="1.5" maintainer="Thomas Marteau"
