Bonjour, Voici la traduction de l'annonce 967 touchant elog.
-- Simon Paillard
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans elog, un journal de bord destiné à réunir des notes. Le projet « Common Vulnerabilities and Exposures » a identifié les pronlèmes suivants :</p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4439";>CVE-2005-4439</a> <p>« GroundZero Security » a découvert qu'elog ne vérifiait pas correctement la taille d'un tampon utilisé pour du traitement des paramètres d'URL, ce qui aurait pu permettre l'exécution de code arbitraire.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0347";>CVE-2006-0347</a> <p>Une vulnérabilité de traversée de répertoire dans le traitement des séquences « ../ » des URL aurait pu provoquer la divulgation d'informations.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0348";>CVE-2006-0348</a> <p>Le code d'écriture du fichier journal contenait une vulnérabilité de chaîne de formatage, qui aurait pu permettre l'exécution de code arbitraire.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0597";>CVE-2006-0597</a> <p>Des attributs de révision excessivement longs auraient pu provoquer un plantage du à un dépassement de tampon.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0598";>CVE-2006-0598</a> <p>Le code d'écriture du fichier journal n'effectuait pas correctement les vérifications suffisantes des limites, ce qui aurait pu permettre l'exécution de code arbitraire.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0599";>CVE-2006-0599</a> <p>elog utilisait des messages d'erreur différents dans le cas d'un mot de passe invalide et d'un nom d'utilisateur invalide, ce qui permettait à un attaquant de tester les noms d'utilisateurs valides.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0600";>CVE-2006-0600</a> <p>Un attaquant pouvait être entraîné dans une boucle de redirection sans fin en utilisant une requête « fail » d'échec, ce qui constitue un risque de déni de service.</p></li> </ul> <p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas de paquet elog.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 2.5.7+r1558-4+sarge2.</p> <p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 2.6.1+r1642-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet elog.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2006/dsa-967.data"
