Bonsoir, Voici les traductions des dernières annonces de sécurité.
Dans l'annoce 957 touchant imagemagick, je n'arrive pas à saisir le sens de « delegate code ». Merci d'avance pour vos relectures, et bon week-end :) -- Simon Paillard
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Fuite de descripteurs de fichiers</define-tag> <define-tag moreinfo> <p>Stefan Pfetzing a découvert que lshd, un serveur alternatif pour le protocole SSH2, dévoilait un certain nombre de descripteurs de fichiers — liés au générateur de nombres aléatoires — aux invites de commandes lancées par lshd. Un attaquant local pouvait modifier le fichier de graine (« seed ») du serveur, ce qui pouvait empêcher le serveur de démarrer, voire avec plus d'efforts permettre de casser les clés de session.</p> <p>Après avoir appliqué cette mise à jour, vous devriez supprimer le fichier de graine (/var/spool/lsh/yarrow-seed-file) puis le regénérer en exécutant <code>lsh-make-seed --server</code> en superutilisateur.</p> <p>Pour des raisons de sécurité, lsh-make-seed doit être lancé depuis une console locale du système concerné. Si vous lancez lsh-make-seed depuis une invite de commande distante, l'information temporelle utilisée par lsh-make-seed pour la graine aléatoire peut être truquée. Si nécessaire, vous pouvez générer la graine aléatoire sur un autre système que le système concerné, en installant le paquet lsh-utils et en exécutant <code>lsh-make-seed -o my-other-server-seed-file</code>. Vous pouvez ensuite transférer la graine au système destinatire en utilisant une connexion sécurisée.</p> <p>L'ancienne distribution stable (<em>Woody</em>) ne semble pas touchée par ce problème.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 2.0.1-3sarge1.</p> <p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.0.1cdbs-4.</p> <p>Nous vous recommandons de mettre à jour votre paquet lsh-server.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2006/dsa-956.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Mauvaise vérification des métacaractères de l'invite de commande<define-tag> <define-tag moreinfo> <p>Florian Weimer a découvert que du code partagé dans ImageMagick permettait d'injecter des commandes en utilisant des noms de fichiers spécialement conçus. Les attaquants pouvaient appeler des commandes depuis l'intérieur des fichiers graphiques. Sous réserve d'interaction avec l'utilisateur, cette vulnérabilité était exploitable à travers Gnus en Thunderbird.</p> <p>Pour l'ancienne distribution stable (<em>Woody</em>), ce problème a été corrigé dans la version 5.4.4.5-1woody7.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 6.0.6.2-2.5.</p> <p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 6.2.4.5-0.6.</p> <p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2006/dsa-957.data"
#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs problème de sécurité ont été découverts dans drupal, un moteur web de discussion et de gestion de contenu. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :</p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3973">CVE-2005-3973</a> <p>Plusieurs vulnérabilités de scripts intersites permettaient à des attaquants distants d'injecter des scripts web ou HTML arbitraires.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3974">CVE-2005-3974</a> <p>Lorsque Drupal était exécuté par PHP5, il n'appliquait pas correctement les droits des utilisateurs, ce qui permettait à des attaquants distants de contourner les vérifications d'accès aux profils d'utilisateurs.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3975">CVE-2005-3975</a> <p>Un conflit d'interprétation permettait à des utilisateurs distants authentifiées d'injecter des scripts web ou HTML dans des fichiers avec une extension GIF ou JPEG.</p></li> </ul> <p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas drupal.</p> <p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 4.5.3-5.</p> <p>Pour votre distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 4.5.6-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet drupal.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2006/dsa-958.data"