-- .~. Nicolas Bertolissio /V\ [EMAIL PROTECTED] // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> Hamid Ebadi a découvert un débordement de mémoire tampon dans la routine intT1_Env_GetCompletePath de t1lib, une bibliothèque de pixelisation des polices de type 1. Ce défaut peut permettre à un attaquant de faire planter une application utilisant les bibliothèques partagées t1lib, et potentiellement d'exécuter du code arbitraire dans le contexte de sécurité d'une telle application. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 5.0.2-3sarge1. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 5.1.0-2etch1. </p> <p> Nous vous recommandons de mettre à jour votre paquet t1lib. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1390.data"
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités locales et à distance ont été découvertes dans le client de courriels Icedove, une version en marque blanche du client Thunderbird client. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3734";>CVE-2007-3734</a> <p> Bernd Mielke, Boris Zbarsky, David Baron, Daniel Veditz, Jesse Ruderman, Lukas Loehrer, Martijn Wargers, Mats Palmgren, Olli Pettay, Paul Nickerson et Vladimir Sukhoy ont découvert des plantages dans le moteur de rendu. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3735";>CVE-2007-3735</a> <p> Asaf Romano, Jesse Ruderman et Igor Bukanov ont découverts des plantages dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3844";>CVE-2007-3844</a> <p> <q>moz_bug_r_a4</q> a découvert qu'en régression dans la gestion des fenêtres <q>about:blank</q> utilisées par des modules pouvait permettre la </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3845";>CVE-2007-3845</a> <p> Jesper Johansson a découvert que la mauvaise vérification de guillemets et d'espaces dans les adresses passées à des programmes externes pouvait permettre à un attaquant de passer des options arbitraires à ces programmes s'il arrivait à faire ouvrir une page piégée à l'utilisateur. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5339";>CVE-2007-5339</a> <p> L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson, Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz, et Martijn Wargers ont découverts des plantages dans le moteur de rendu. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5340";>CVE-2007-5340</a> <p> Igor Bukanov, Eli Friedman, et Jesse Ruderman ont découvert des plantage dans le moteur de JavaScript. Cela pourrait permettre l'exécution de code arbitraire. De manière générale, l'activation de JavaScript dans Icedove n'est pas recommandée. </p> </li> </ul> <p> Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution stable (<em>Sarge</em>) ne sont plus fournies. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 1.5.0.13+1.5.0.14b.dfsg1-0etch1. Les constructions pour l'architecture hppa seront fournies ultérieurement. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes seront corrigés prochainement. </p> <p> Nous vous recommandons de mettre à jour vos paquets icedove. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1391.data"
#use wml::debian::translation-check translation="1.6" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités locales et à distance ont été découvertes dans Xulrunner, un environnement d'exécution pour les applications XUL. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1095";>CVE-2007-1095</a> <p> Michal Zalewski a découvert que le gestionnaire de l'événement <i>unload</i> avait accès à l'adresse de la ressource à charger suivante. Cela peut permettre la divulgation d'information ou l'usurpation de site. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2292";>CVE-2007-2292</a> <p> Stefano Di Paola a découvert qu'une validation insuffisante des noms d'utilisateurs utilisée dans l'authentification par résumé sur un site permettrait des attaques pas découpages des réponses HTTP. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3511";>CVE-2007-3511</a> <p> On a découvert qu'une gestion peu sûr de l'élément actif du contrôleur de téléchargement des fichiers pouvait conduire à divulguer des informations. il s'agit d'une variante de la vulnérabilité <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2894";>\ CVE-2006-2894</a>. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5334";>CVE-2007-5334</a> <p> Eli Friedman a découvert que des pages écrites en XUL pouvaient cacher la barre de titre des fenêtres. Cela peut conduire à des attaques par usurpation de site. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5337";>CVE-2007-5337</a> <p> Georgi Guninski a découvert que la gestion peu sûre des schémas de ressources smb:// et sftp:// pouvait conduire à la divulgation d'informations. Cette vulnérabilité n'est exploitable que si la gestion de Gnome-VFS est présente sur le système. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5338";>CVE-2007-5338</a> <p> <q>moz_bug_r_a4</q> a découvert que le schéma de protection offert par XPCNativeWrappers pouvait être contourné. Cela pourrait permettre une augmentation des privilèges. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5339";>CVE-2007-5339</a> <p> L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson, Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz, et Martijn Wargers ont découvert des plantages dans le moteur de rendu. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5340";>CVE-2007-5340</a> <p> Igor Bukanov, Eli Friedman, et Jesse Ruderman ont découvert des plantage dans le moteur de JavaScript. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> </ul> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas xulrunner. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 1.8.0.14~pre071019b-0etch1. Les constructions pour les architectures hppa et mipsel seront fournies ultérieurement. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes seront corrigés prochainement. </p> <p> Nous vous recommandons de mettre à jour vos paquets xulrunner. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1392.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio" <define-tag description>Exécution peu sûre</define-tag> <define-tag moreinfo> <p> On a découvert que xfce-terminal, un émulateur de terminal pour l'environnement xfce, ne protégeait pas correctement les arguments passés aux processus engendrés pas <q>Open Link</q>. Cela permet à des miens malveillants d'exécuter des commandes arbitraires sur le système local. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.2.5.6rc1-2etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.2.6-3. </p> <p> Nous vous recommandons de mettre à jour votre paquet xfce4-terminal. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1393.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Contournement d'authentification</define-tag> <define-tag moreinfo> <p> On a découvert que reprepro, une outil pour créer des dépôts de paquets Debian, ne vérifiait la validité des signatures connues que lors de la mise à jour à partir d'une site distant et ne rejetait donc pas les paquets ayant simplement des signatures inconnues. Cela permet à un attaquant de contourner ce mécanisme d'authentification. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée par ce problème. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.3.1+1-1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.2.4-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet reprepro. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1394.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Fichiers temporaires peu sûrs</define-tag> <define-tag moreinfo> <p> Steve Kemp du projet d'audit de sécurité de Debian a découvert que xen-utils, un ensemble d'outils d'administration de XEN, utilisait des fichiers temporaires peu sûrs dans l'outil xenmon. Cela permet à des utilisateurs locaux de tronquer des fichiers arbitraires. </p> <p> Dans l'ancienne distribution stable (<em>Sarge</em>), ce paquet n'était pas présent. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 3.0.3-0-4. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour votre paquet xen-3.0. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1395.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités locales et à distance ont été découvertes dans le navigateur Iceweasel, une version en marque blanche du navigateur Firefox. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1095";>CVE-2007-1095</a> <p> Michal Zalewski a découvert que le gestionnaire de l'événement <i>unload</i> avait accès à l'adresse de la ressource à charger suivante. Cela peut permettre la divulgation d'information ou l'usurpation de site. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2292";>CVE-2007-2292</a> <p> Stefano Di Paola a découvert qu'une validation insuffisante des noms d'utilisateurs utilisée dans l'authentification par résumé sur un site permettrait des attaques pas découpages des réponses HTTP. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3511";>CVE-2007-3511</a> <p> On a découvert qu'une gestion peu sûr de l'élément actif du contrôleur de téléchargement des fichiers pouvait conduire à divulguer des informations. il s'agit d'une variante de la vulnérabilité <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2894";>\ CVE-2006-2894</a>. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5334";>CVE-2007-5334</a> <p> Eli Friedman a découvert que des pages écrites en XUL pouvaient cacher la barre de titre des fenêtres. Cela peut conduire à des attaques par usurpation de site. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5337";>CVE-2007-5337</a> <p> Georgi Guninski a découvert que la gestion peu sûre des schémas de ressources smb:// et sftp:// pouvait conduire à la divulgation d'informations. Cette vulnérabilité n'est exploitable que si la gestion de Gnome-VFS est présente sur le système. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5338";>CVE-2007-5338</a> <p> <q>moz_bug_r_a4</q> a découvert que le schéma de protection offert par XPCNativeWrappers pouvait être contourné. Cela pourrait permettre une augmentation des privilèges. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5339";>CVE-2007-5339</a> <p> L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson, Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz, et Martijn Wargers ont découvert des plantages dans le moteur de rendu. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5340";>CVE-2007-5340</a> <p> Igor Bukanov, Eli Friedman, et Jesse Ruderman ont découvert des plantage dans le moteur de JavaScript. Cela pourrait permettre l'exécution de code arbitraire. </p> </li> </ul> <p> Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution stable (<em>Sarge</em>) ne sont plus fournies. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 2.0.0.6+2.0.0.8-0etch1. Les constructions pour les architectures arm et sparc seront fournies ultérieurement. <p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 2.0.0.8-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets iceweasel . </p> </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1396.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Débordement d'entier</define-tag> <define-tag moreinfo> <p> Un débordement d'entier dans l'implantation du type de données BigInteger (N.d.T. : grand entier) a été découvert dans l'exécuteur .NET libre Mono. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas mono. <p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.2.2.1-1etch1. Une construction pour l'architecture powerpc sera fournie ultérieurement. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour vos paquets mono. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1397.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de chaîne de formatage</define-tag> <define-tag moreinfo> <p> Bernhard Mueller de SEC Consult a découvert une vulnérabilité par chaîne de formatage dans perdition, un mandataire IMAP. Cette vulnérabilité peut permettre à une utilisateur non authentifié d'exécuter un code arbitraire sur le serveur perdition en fournissant une étiquette IMAP formatée spécialement. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.15-5sarge1. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.17-7etch1. </p> <p> Nous vous recommandons de mettre à jour votre paquet perdition. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1398.data"
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Tavis Ormandy de l'équipe de sécurité de Google a découvert plusieurs problèmes de sécurité dans PCRE, la bibliothèque d'expressions rationnelles compatibles Perl. Cela permet potentiellement à des attaquants d'exécuter du code arbitraire en compilant des expressions rationnelles conçues spécialement. </p> <p> La version 7.0 de la bibliothèque PCRE comprend une réécriture majeure du compilateur d'expressions rationnelles et il a été jugé impossible de rétroporter les correctifs de sécurité de la version 7.3 vers les versions des distributions stable et ancienne stable de Debian (version 6.7 et 4.5 respectivement). Aussi, cette mise à jour est-elle basée sur la version 7.4 (qui comprend ces correctifs de sécurité de la version 7.3 ainsi que plusieurs corrections de régressions), avec des correctifs particuliers pour améliorer la compatibilité avec les anciennes versions. Ainsi, une attention particulière est-elle nécessaire lors de l'application de cette mise à jour. </p> <p> Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1659";>CVE-2007-1659</a> <p> Des séquences \Q\E mal appariées avec des codes \E orphelins peuvent engendrer une désynchronisation du compilateur d'expressions rationnelles conduisant a un pseudo-code corrompu. Cela peut entraîner de nombreuses conditions de vulnérabilité. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1660";>CVE-2007-1660</a> <p> Les tailles de plusieurs formes de classes caractères sont mal calculées lors de l'analyse initiale entraînant l'allocation de trop peu de mémoire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1661";>CVE-2007-1661</a> <p> Plusieurs motifs de la forme \X?\d ou \P{L}?\d dans des modes non UTF-8 peuvent revenir en arrière avant le début de la chaîne en pouvant laisser fuir des informations de l'espace d'adressage ou en engendrant un plantage par lecture hors limite. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1662";>CVE-2007-1662</a> <p> Un certain nombre de routines peuvent être trompées et lire après la fin de la chaîne à la recherche de parenthèses ou des crochets non appariés engendrant un déni de service. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4766";>CVE-2007-4766</a> <p> Plusieurs débordements d'entiers dans le traitement des séquences de protection peuvent engendrer des débordement de blocs de mémoires ou des lectures ou écritures hors limites. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4767";>CVE-2007-4767</a> <p> Des boucles infinies et des débordements de zones de mémoire ont été découverts dans la gestion des séquences \P et \P{x} où la longueur de ces opérations exceptionnelles est mal gérée. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4768";>CVE-2007-4768</a> <p> Des classes de caractères ne contenant qu'une seule séquence unicode sont mal optimisées, engendrant un débordement de zone de mémoire. </p> </li> </ul> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 4.5+7.4-1. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 6.7+7.4-2. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 7.3-1. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2007/dsa-1399.data"
signature.asc
Description: Digital signature
