Salut, Une annonce de sécurité a été publiée aujourd'hui, et j'en ai traduit deux plus anciennes (la première s'inscrit dans la série précédente), par avance merci pour vos relectures.
Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans le lecteur, serveur et encodeur multimédia FFmpeg. Plusieurs validations d'entrée dans les décodeurs pour fichiers QDM2, VP5, VP6, VMD et SVQ1 pourraient conduire à l'exécution de code arbitraire. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4:0.5.6-3.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4:0.7.3-1 du paquet source libav.</p> <p>Nous vous recommandons de mettre à jour vos paquets ffmpeg.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2378.data" # $Id: dsa-2378.wml,v 1.1 2012-01-03 21:40:49 taffit Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans phpMyAdmin, un outil web pour administrer MySQL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3696";>CVE-2009-3696</a> <p> Une vulnérabilité de script intersite (XSS) permet aux attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide d'un nom de table MySQL contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3697";>CVE-2009-3697</a> <p> Une vulnérabilité d'injection SQL dans la fonctionnalité de générateur de schéma PDF permet aux attaquants distants d'exécuter des commandes SQL arbitraires. Ce problème ne concerne pas la version de Debian 4.0 Etch. </p></li> </ul> <p> De plus, un renforcement supplémentaire a été ajouté au script setup.php pour le web. Bien que la configuration de serveur web fournie devrait s'assurer que ce script est protégé, cela s'avère ne pas être toujours le cas dans la pratique. Le fichier config.inc.php n'est plus accessible en écriture à l'utilisateur du serveur web. Consultez README.Debian pour de plus amples précisions sur la façon d'activer le script setup.php si et quand vous en avez besoin. </p> <p>Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.9.1.1-13.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.11.8.1-5+lenny3.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.2.2.1-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet phpmyadmin.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1918.data" # $Id: dsa-1918.wml,v 1.3 2010-12-17 14:40:23 taffit-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Déni de service, augmentation de droits, fuite d'informations</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service, une une augmentation de droits ou une fuite de mémoire sensible. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2698";>CVE-2009-2698</a> <p> Herbert Xu a découvert un problème dans la façon dont UDP surveille l'état de bouchage qui pourrait permettre aux utilisateurs locaux de provoquer un déni de service (plantage du système). Tavis Ormandy et Julien Tinnes ont découvert que ce problème pourrait aussi être utilisé par des utilisateurs locaux pour augmenter leurs droits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2846";>CVE-2009-2846</a> <p> Michael Buesch a remarqué un problème de frappe dans le pilote eisa-eeprom pour l'architecture hppa. Des utilisateurs locaux pourraient exploiter ce problème pour accéder à la mémoire restreinte. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2847";>CVE-2009-2847</a> <p> Ulrich Drepper a remarqué un problème dans la routine do_sigalstack sur les systèmes 64 bits. Ce problème permet aux utilisateurs locaux d'accéder éventuellement à la mémoire sensible de la pile du noyau. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2848";>CVE-2009-2848</a> <p> Eric Dumazet a découvert un problème dans le chemin execve où la variable clear_child_tid n'était pas correctement effacée. Des utilisateurs locaux pourraient exploiter ce problème pour provoquer un déni de service (corruption de mémoire). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2849";>CVE-2009-2849</a> <p> Neil Brown a découvert un problème dans l'interface sysfs des périphériques RAID. Quand les grappes RAID ne sont pas actives, des utilisateurs locaux peuvent exploiter cette vulnérabilité pour provoquer un déni de service (oops). </p></li> </ul> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 2.6.18.dfsg.1-24etch4.</p> <p>Nous vous recommandons de mettre à jour vos paquets linux-2.6, fai-kernels et user-mode-linux.</p> <p> Remarque : Debian suit soigneusement tous les problèmes de sécurité connus concernant les noyaux Linux de toutes les distributions activement suivies en sécurité. Cependant, en raison de la fréquence importante à laquelle des problèmes de sécurité de faible importance sont découverts dans le noyau et les ressources nécessaires pour réaliser une mise à jour, les mises à jour de faible importance ne seront généralement pas publiées pour tous les noyaux en même temps. à la place, elles seront publiées de façon échelonnée ou à <q>saute-mouton</q>. </p> <p>Le tableau suivant liste les paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :</p> <div class="centerdiv"><table cellspacing="0" cellpadding="2"> <tr><th> </th> <th>Debian 4.0 (Etch)</th></tr> <tr><td>fai-kernels</td><td>1.17+etch.24etch4</td></tr> <tr><td>user-mode-linux</td><td>2.6.18-1um-2etch.24etch4</td></tr> </table></div> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1872.data" # $Id: dsa-1872.wml,v 1.3 2011-10-09 11:11:00 florian Exp $
signature.asc
Description: OpenPGP digital signature
