Salut, Trois annonces de sécurité ont été publiées, par avance merci pour vos relectures.
Amicalement David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Nombres aléatoires devinables</define-tag> <define-tag moreinfo> <p> Une vulnérabilité a été découverte dans le serveur de bases de données PostgreSQL. Les nombres aléatoires générés par les fonctions contrib/pgcrypto pourraient être faciles à deviner pour un autre utilisateur de base de données. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 8.4.17-0squeeze1.</p> <p> Pour les distributions testing (Wheezy) et unstable (Sid), les paquets postgresql-8.4 ont été supprimés. Dans ces distributions, ce problème a été corrigé dans la version 9.1.9-0wheezy1 de postgresql-9.1 pour Wheezy et 9.1.9-1 pour Sid. </p> <p> <b>Remarque</b> : postgresql-8.4 dans Squeeze nâest pas concerné par <a href="http://security-tracker.debian.org/tracker/CVE-2013-1899";>CVE-2013-1899</a> (corruption de fichiers de base de données) ni <a href="http://security-tracker.debian.org/tracker/CVE-2013-1901";>CVE-2013-1901</a> (un utilisateur sans droit peut interférer avec des sauvegardes en cours). </p> <p>Nous vous recommandons de mettre à jour vos paquets postgresql-8.4.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2657.data" # $Id: dsa-2657.wml,v 1.1 2013-04-04 16:42:59 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans le serveur de bases de données PostgreSQL. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1899";>CVE-2013-1899</a> <p> Mitsumasa Kondo et Kyotaro Horiguchi du centre de logiciel ouvert NTT ont découvert quâil était possible de contrefaire une demande de connexion contenant un nom de base de donnée commençant par <q>-</q> pour endommager ou détruire des fichiers dans un répertoire de données du serveur. Nâimporte qui ayant accès au port dâécoute du serveur PostgreSQL peut initier cette demande. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1900";>CVE-2013-1900</a> <p> Les nombres aléatoires générés par les fonctions contrib/pgcrypto pourraient être faciles à deviner pour un autre utilisateur de base de données. </p> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1901";>CVE-2013-1901</a> <p> Un utilisateur sans droit pourrait exécuter des commandes qui pourraient interférer avec des sauvegardes en cours. </p></li> </ul> <p> Pour la distribution stable (Squeeze), postgresql-9.1 nâest pas disponible. <a href="dsa-2657">DSA-2657-1</a> a été publiée pour <a href="http://security-tracker.debian.org/tracker/CVE-2013-1900";>CVE-2013-1900</a> concernant posgresql-8.4. </p> <p>Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 9.1.9-0wheezy1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 9.1.9-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets postgresql-9.1.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2658.data" # $Id: dsa-2658.wml,v 1.1 2013-04-04 16:42:59 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> Matthew Horsfall de Dyn, Inc. a découvert que BIND, un serveur DNS, est prédisposé à une vulnérabilité de déni de service. Un attaquant distant pourrait utiliser ce défaut pour envoyer une requête DNS contrefaite pour l'occasion à named qui, lors du traitement, forcera named à utiliser une quantité de mémoire excessive ou éventuellement planter. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:9.7.3.dfsg-1~squeeze10.</p> <p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 1:9.8.4.dfsg.P1-6+nmu1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:9.8.4.dfsg.P1-6+nmu1.</p> <p>Nous vous recommandons de mettre à jour vos paquets bind9.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2656.data" # $Id: dsa-2656.wml,v 1.1 2013-03-30 16:00:44 taffit Exp $
signature.asc
Description: OpenPGP digital signature
