-- .~. Nicolas Bertolissio /V\ [EMAIL PROTECTED] // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"
<define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> On a découvert que plusieurs débordements de mémoire tampon dans tcpreen, un outil de surveillance d'une connexion TCP, pouvaient conduire à un déni de service. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet tcpreen. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.4.3-0.1etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.4.3-0.3. </p> <p> Nous vous recommandons de mettre à jour votre paquet tcpreen. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1443.data"
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> On a découvert que le correctif de <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4659";>\ CVE-2007-4659</a> pouvait conduire à des régressions dans certains cas. Ce correctif a été annulé pour le moment, une nouvelle mise à jour sera fournie ultérieurement dans un bulletin de sécurité PHP. <p> Pour mémoire, le bulletin initial est rappelé ci-dessous : </p> <p> Plusieurs vulnérabilités à distance ont été découvertes dans PHP, un langage de script embarqué dans le HTML côté serveur. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3799";>CVE-2007-3799</a> <p> On a découvert que la fonction session_start() permettait l'insertion d'attributs dans le <i>cookie</i> de session. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3998";>CVE-2007-3998</a> <p> Mattias Bengtsson et Philip Olausson ont découvert qu'une erreur de programmation dans l'implantation de la fonction wordwrap() permettait un déni de service <i>via</i> une boucle sans fin. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4658";>CVE-2007-4658</a> <p> Stanislav Malyshev a découvert qu'une vulnérabilité de chaîne de formatage dans la fonction money_format() pouvait permettre l'exécution de code arbitraire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4659";>CVE-2007-4659</a> <p> Stefan Esser a découvert que le flux de contrôle d'exécution dans la fonction zend_alter_ini_entry() n'était pas géré correctement en cas de violation de limite de mémoire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4660";>CVE-2007-4660</a> <p> Gerhard Wagner a découvert un débordement d'entier dans la fonction chunk_split(). </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5898";>CVE-2007-5898</a> <p> Rasmus Lerdorf a découvert que la mauvaise analyse de séquences multioctets pouvait conduire à divulguer du contenu de la mémoire. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5899";>CVE-2007-5899</a> <p> On a découvert que la fonction output_add_rewrite_var() pouvait laisser fuir des informations d'identification de sessions permettant de divulguer des informations. </p> </li> </ul> <p> Cette mise à jour corrige également deux bogues de la version 5.2.4 de PHP qui n'ont pas d'impact de sécurité d'après la charte de sécurité PHP de Debian (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4657";>\ CVE-2007-4657</a> et <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4662";>\ CVE-2007-4662</a>), mais qui sont tout de même corrigées. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet php5. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 5.2.0-8+etch10. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 5.2.4-1, à l'exception de <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5898";>\ CVE-2007-5898</a> et de <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5899";>\ CVE-2007-5899</a> qui seront corrigés ultérieurement. Veillez noter que les versions de Debian de PHP sont renforcées par le correctif Suhosin depuis la version 5.2.4-1 ce qui rend plusieurs vulnérabilités sans effet. </p> <p> Nous vous recommandons de mettre à jour vos paquets php5. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1444.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Michael Krieger et Sam Trenholme ont découvert une erreur de programmation dans MaraDNS, un serveur de service de noms de domaine simple et orienté vers la sécurité. Cela pourrait conduire à un déni de service <i>via</i> des paquets DNS mal formés. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.0.27-2. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.2.12.04-1etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.2.12.08-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet maradns. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1445.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans Wireshark, un analyseur de trafic réseau. Cela peut conduire à un déni de service. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6450";>CVE-2007-6450</a> <p> Il est possible de tromper le dissecteur RPL pour le faire entrer dans une boucle sans fin. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6451";>CVE-2007-6451</a> <p> Il est possible de tromper le dissecteur CIP pour lui faire demander une allocation massive de mémoire. </p> </li> </ul> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 0.10.10-2sarge11. Dans <em>Sarge</em> Wireshark s'appelait Ethereal. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 0.99.4-5.etch.2. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 0.99.7-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets wireshark. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1446.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans le moteur JSP et microserveur Tomcat. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3382";>CVE-2007-3382</a> <p> On a découvert que les apostrophes (') dans les <i>cookies</i> étaient traitées comme des délimiteurs. Cela peut conduire à des fuites d'informations. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3385";>CVE-2007-3385</a> <p> On a découvert que la séquence de caractères \" dans les <i>cookies</i> n'était pas gérée correctement. Cela peut conduire à des fuites d'informations. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3386";>CVE-2007-3386</a> <p> On a découvert que le microserveur de gestion des hôtes ne réalisait pas de validation suffisante des entrées. Cela peut conduire à une attaque par script intersite. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5342";>CVE-2007-5342</a> <p> On a découvert que le composant de journalisation JULI ne restreignait pas son chemin de fichier cible. Cela engendre un possible déni de service <i>via</i> l'écrasement de fichiers. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5461";>CVE-2007-5461</a> <p> On a découvert que le microserveur WebDAV était vulnérable à des traversées de chemins de fichiers absolus. </p> </li> </ul> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet tomcat5.5. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 5.5.20-2etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes seront corrigés prochainement. </p> <p> Nous vous recommandons de mettre à jour vos paquets tomcat5.5. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1447.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Débordement de mémoire tampon</define-tag> <define-tag moreinfo> <p> On a découvert qu'eggdrop, un robot IRC avancé, était vulnérable à un débordement de mémoire tampon. Cela peut permettre à un utilisateur distant d'exécuter du code arbitraire. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.6.17-3sarge1. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.6.18-1etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.6.18-1.1 </p> <p> Nous vous recommandons de mettre à jour votre paquet eggdrop. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1448.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert que loop-aes-utils, des outils de montage et de manipulation de systèmes de fichiers, n'abandonnaient pas les droits d'utilisateur et de groupe privilégiés dans le bon ordre dans les commandes mount et umount. Cela peut permettre à un utilisateur local d'obtenir des droits supplémentaires. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 2.12p-4sarge2. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.12r-15+etch1. </p> <p> Nous vous recommandons de mettre à jour votre paquet loop-aes-utils. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1449.data"
signature.asc
Description: Digital signature
