Bonjour, Voici un petit lot d'annonces de sécurité à relire.
Merci d'avance. -- Simon Paillard
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans lurker, un outil d'archivage de listes de diffusion avec moteur de recherche intégré. Le projet « Common Vulnerability and Exposures » a identifié les problèmes suivants :</p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1062";>CVE-2006-1062</a> <p>Dans lurker, le mécanisme pour spécifier les fichiers de configuration à utiliser pouvait être contourné. Comme lurker inclut dans sa sortie des sections de fichiers non traités, il pouvait être manipulé afin de lire tout fichier lisible par l'utilisateur www-data.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1063";>CVE-2006-1063</a> <p>Un attaquant distant pouvait créer ou écraser des fichiers dans n'importe quel répertoire en écriture nommé « mbox ».</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1064";>CVE-2006-1064</a> <p>Une mauvaise vérification des entrées permettaient à un attaquant d'injecter des scripts web ou HTML arbitraires.</p></li> </ul> <p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas le paquet lurker.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 1.2-5sarge1.</p> <p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 2.1-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet lurker.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2006/dsa-999.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Erreur de conception</define-tag> <define-tag moreinfo> <p>Une faille dans une algorithme a été découverte dans Apache2::Request, la bibliothèque générique pour les requêtes, qui pouvait être exploitée à distance pour provoquer un déni de service par un utilisation intensive du processeur.</p> <p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas ces paquets.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 2.04-dev-1sarge1.</p> <p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.07-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libapreq2, libapache2-mod-apreq2 et libapache2-request-perl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2006/dsa-1000.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Dépassement de tampon</define-tag> <define-tag moreinfo> <p>Crossfire, un jeu d'aventure multijoueurs, n'effectuait pas de vérification suffisante des limites des paquets réseau lorsqu'il était exécuté en mode « oldsocketmode », ce qui pouvait peut-être permettre l'exécution de code arbitraire.</p> <p>Pour l'ancienne distribution stable (<em>Woody</em>), ce problème a été corrigé dans la version 1.1.0-1woody1.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.6.0.dfsg.1-4sarge1.</p> <p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.9.0-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets crossfire.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2006/dsa-1001.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans webcalendar, un calendrier multiutilisateur en PHP. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :</p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3949";>CVE-2005-3949</a> <p>De nombreuses vulnérabilités d'injection SQL permettaient à des attaquants distants d'exécuter des commandes SQL arbitraires.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3961";>CVE-2005-3961</a> <p>Une mauvaise vérification des entrées permettait à des attaquants distants d'écraser des fichiers locaux.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3982";>CVE-2005-3982</a> <p>Une vulnérabilité d'injection CRLF permettait à des attaquants de modifier les entêtes HTTP et de conduire des attaques par découpage de la réponse HTTP.</p></li> </ul> <p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas le paquet webcalendar.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 0.9.45-4sarge3.</p> <p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 1.0.2-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet webcalendar.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2006/dsa-1002.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard" <define-tag description>Fichier temporaire non sécurisé</define-tag> <define-tag moreinfo> <p>Eric Romang a découvert que xpvm, une console graphique de surveillance de PVM, créait un fichier temporaire permettant à un attaquant local de créer ou d'écraser des fichiers arbitraires avec les droits de l'utilisateur exécutant xpvm.</p> <p>Pour l'ancienne distribution stable (<em>Woody</em>), ce problème a été corrigé dans la version 1.2.5-7.2woody1.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.2.5-7.3sarge1.</p> <p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.2.5-8.</p> <p>Nous vous recommandons de mettre à jour votre paquet xpvm.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2006/dsa-1003.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Dépassement de tampon</define-tag> <define-tag moreinfo> <p>Simon Kilvington a découvert que des images PNG spécialement conçues pouvaient déclencher un dépassement de pile dans libavcodec, la bibliothèque multimédia de ffmpeg, ce qui pouvait permettre l'exécution de code arbitraire. Le lecteur multimédia vlc est lié de manière statique à libavcodec.</p> <p>L'ancienne distribution stable (<em>Woody</em>) n'est pas touchée par ce problème.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.8.1.svn20050314-1sarge1.</p> <p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.8.4.debian-2.</p> <p>Nous vous recommandons de mettre à jour votre paquet vlc.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2006/dsa-1004.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Dépassement de tampon</define-tag> <define-tag moreinfo> <p>Simon Kilvington a découvert que des images PNG spécialement conçues pouvaient déclencher un dépassement de pile dans libavcodec, la bibliothèque multimédia de ffmpeg, ce qui pouvait permettre l'exécution de code arbitraire. xine-lib inclut une copie locale de libavcodec.</p> <p>L'ancienne distribution stable (<em>Woody</em>) n'est pas touchée par ce problème.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.0.1-1sarge2.</p> <p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.0.1-1.5.</p> <p>Nous vous recommandons de mettre à jour votre paquet xine-lib.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2006/dsa-1005.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Mauvaise vérification des entrées</define-tag> <define-tag moreinfo> <p>« kcope » a découvert que le serveur FTP wzdftpd ne vérifiait pas les entrées de la commande SITE, ce qui pouvait permettre l'exécution de commandes arbitraires.</p> <p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas les paquets wzdftpd.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.5.2-1.1sarge1.</p> <p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.5.5-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet wzdftpd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2006/dsa-1006.data"
