Bonsoir à tous,
Voici les nouvelles DSAs.
Merci de vos relectures, Thomas.
<define-tag description>Manque de vérification des entrées</define-tag> <define-tag moreinfo> <p>Les développeurs de <i>courier</i>, un serveur de courrier électronique integré pour l'utilisateur, ont découvert un problème dans le module d'authentification de PostgreSQL. Certains caractères potentiellement dangereux passaient directement avant le nom de l'utilisateur au moteur PostgreSQL. Un attaquant pouvait injecter des commandes et des requêtes SQL arbitraires pour exploiter cette faille de sécurité. Le module d'authentification de MySQL n'est pas affecté.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 0.37.3-3.3.</p> <p>L'ancienne distribution stable (<i>Potato</i>) ne contient pas le paquet courier.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 0.40.2-3.</p> <p>Nous recommandons de mettre à jour votre paquet courier-authpostgresql.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2003/dsa-247.data" # $Id: dsa-247.wml,v 1.1 2003/01/30 14:46:17 joey Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Dépassements de tampon</define-tag> <define-tag moreinfo> <p>Ulf Härnhammar a découvert deux problèmes dans hypermail, un programme pour créer des archives HTML de listes de diffusion.</p> <p>Un attaquant peut créer un long nom de fichier pour un attachement que fera dépasser deux tampons quand une certaine option pour une utilisation interactive lui est donnée, donnant l'opportunité à une exécution de code arbitraire. Ce code sera exécuté sous l'identité de l'utilisateur qui fait tourner hypermail, surement un utilisateur local. L'utilisation automatique et silencieuse de hypermail ne semble pas affectée.</p> <p>Le programme CGI de courrier, qui n'est pas installé par le paquet Debian, fait un résolution inverse de l'adresse IP de l'utilisateur et copie le nom d'hôte dans un champ de taille fixe. Une réponse DNS conçue à dessein pourrait faire dépasser ce tampon, permettant une exploitation du programme.</p> <p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé dans la version 2.1.3-2.0.</p> <p>Pour l'ancienne distribution stable (<i>Potato</i>), ce problème a été corrigé dans la version 2.0b25-1.1.</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 2.1.6-1.</p> <p>Nous recommandons de mettre à jour votre paquet hypermail.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2003/dsa-248.data" # $Id: dsa-248.wml,v 1.2 2003/01/31 15:08:05 peterk Exp $ #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
