-- .~. Nicolas Bertolissio /V\ [EMAIL PROTECTED] // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio"
<define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert qu'util-linux, divers outils du système, n'abandonnaient pas les droits d'utilisateur et de groupe privilégiés dans le bon ordre dans les commandes mount et umount. Cela peut permettre à un utilisateur local d'obtenir des droits supplémentaires. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 2.12p-4sarge2. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.12r-19etch1. </p> <p> Nous vous recommandons de mettre à jour votre paquet util-linux. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1450.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités locales et à distance ont été découvertes dans le serveur de base de données MySQL. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3781";>CVE-2007-3781</a> <p> On a découvert que la validation des droits pour la table source de l'instruction CREATE TABLE LIKE était insuffisamment appliquée. Cela pourrait conduire à divulguer des informations. Ce n'est exploitable que par un utilisateur authentifié. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5969";>CVE-2007-5969</a> <p> On a découvert que des liens symboliques n'étaient pas gérés de manière sûre pendant la création de tables avec les instructions DATA DIRECTORY ou INDEX DIRECTORY. Cela pourrait conduire à un déni de service par écrasement de données. Ce n'est exploitable que par un utilisateur authentifié. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6304";>CVE-2007-6304</a> <p> On a découvert que des requêtes sur des données dans une table FEDERATED pouvaient conduire à un plantage du serveur de bases de données local si le serveur distant retournait des informations ayant moins de colonnes qu'attendu. Cela engendre un déni de service. </p> </li> </ul> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet mysql-dfsg-5.0. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 5.0.32-7etch4. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 5.0.51-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets mysql-dfsg-5.0. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1451.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> <q>k1tk4t</q> a découvert que wzdftpd, un serveur FTP portable, modulaire, stable et efficace, ne gérait pas correctement la réception de noms d'utilisateur longs. Cela peut permettre l'arrêt du démon par un utilisateur distant. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 0.5.2-1.1sarge3. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.8.1-2etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.8.2-2.1. </p> <p> Nous vous recommandons de mettre à jour votre paquet wzdftpd. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1452.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans le moteur JSP et microserveur Tomcat. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3382";>CVE-2007-3382</a> <p> On a découvert que les apostrophes (') dans les <i>cookies</i> étaient traitées comme des délimiteurs. Cela peut conduire à des fuites d'informations. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3385";>CVE-2007-3385</a> <p> On a découvert que la séquence de caractères \" dans les <i>cookies</i> n'était pas gérée correctement. Cela peut conduire à des fuites d'informations. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5461";>CVE-2007-5461</a> <p> On a découvert que le microserveur WebDAV était vulnérable à des traversées de chemins de fichiers absolus. </p> </li> </ul> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet tomcat5.5. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 5.0.30-12etch1. </p> <p> Pour la distribution instable (<em>Sid</em>) ne contient plus de paquet tomcat5. </p> <p> Nous vous recommandons de mettre à jour vos paquets tomcat5.5. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1453.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Débordement d'entiere</define-tag> <define-tag moreinfo> <p> Greg MacManus a découvert un débordement d'entier dans la gestion des polices de caractères de libfreetype, un moteur de police de caractères FreeType 2. Cela pourrait conduire à un déni de service ou peut-être à l'exécution de code arbitraire si on peut faire ouvrir une police mal formée à un utilisateur. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème sera corrigé prochainement. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.2.1-5+etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.3.5-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet freetype. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1454.data"
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio" <define-tag description>denial of service</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités locales et à distance ont été découvertes dans libarchive1, une bibliothèque unique pour lire et écrire des archives tar, cpio, pax, zip, iso9660. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3641";>CVE-2007-3641</a> <p> On a découvert que libarchive1 calculait mal la longueur d'un tampon de mémoire. Cela engendre un débordement de mémoire tampon si un autre type de corruption arrive dans un en-tête d'extension pax. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3644";>CVE-2007-3644</a> <p> On a découvert que si une archive se terminait prématurément à l'intérieur d'un en-tête d'extension pax, la bibliothèque libarchive1 pouvait entrer dans une boucle sans fin. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3645";>CVE-2007-3645</a> <p> Si une archive se termine prématurément à l'intérieur d'un en-tête tar suivant immédiatement un en-tête d'extension pax, libarchive1 peut déréférencer un pointeur vide. </p> </li> </ul> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas ce paquet. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 1.2.53-2etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 2.2.4-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets libarchive. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1455.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Daniel B. Cid a découvert que fail2ban, un outil de blocage d'adresses IP générant des erreurs de connexion, était trop souple lors de l'analyse des fichiers de journalisation de SSH. Cela permet à un attaquant de bloquer n'importe quelle adresse. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet fail2ban. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 0.7.5-2etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 0.8.0-4. </p> <p> Nous vous recommandons de mettre à jour votre paquet fail2ban. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1456.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> On a découvert que Dovecot, un serveur POP3 et IMAP, lorsqu'il était utilisé avec l'authentification LDAP et que <q>base</q> contenait des variables, pouvait permettre à un utilisateur de se connecter au compte d'un autre utilisateur avec le même mot de passe. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.0.rc15-2etch3. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.0.10-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet dovecot. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1457.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Une situation de concurrence dans le serveur de fichiers OpenAFS permet à un attaquant de causer un déni de service (plantage du démon) en acquérant et en rendant simultanément des rappels de fichiers. Cela fait faire au gestionnaire de la procédure de rappel GiveUpAllCallBacks des opérations de listes liées sans le verrou host_glock. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 1.3.81-3sarge3. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.4.2-6etch1. </p> <p> Nous vous recommandons de mettre à jour votre paquet openafs. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1458.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Validations des entrées insuffisantes</define-tag> <define-tag moreinfo> <p> On a découvert que Gforge, un outil de développement collaboratif, ne validait pas correctement certains paramètres CGI. Cela permet des injections de code SQL dans les scripts liés aux exportations de flux de nouvelles. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 3.1-31sarge5. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 4.5.14-22etch4. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 4.6.99+svn6330-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet gforge. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1459.data"
signature.asc
Description: Digital signature
