-- .~. Nicolas Bertolissio /V\ [EMAIL PROTECTED] // \\ /( )\ ^`~'^ Debian GNU/Linux
#use wml::debian::translation-check translation="1.4" maintainer="Nicolas Bertolissio"
<define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités locales ont été découvertes dans PostgreSQL, une base de données SQL relationnelles objet. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3278">CVE-2007-3278</a> <p> On a découvert que le module DBLink ne réalisait pas de validation suffisante des références. Ce problèmes est aussi suivi par <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6601">\ CVE-2007-6601</a>, car le correctif initial était incomplet. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4769">CVE-2007-4769</a> <p> Tavis Ormandy et Will Drewry ont découvert qu'un bogue dans la gestion des références arrières dans le moteur d'expressions rationnelles pouvait conduire à une lecture hors limites engendrant un plantage. Cela ne constitue un problème de sécurité que si une application utilisant PostgreSQL traite des expressions rationnelles venant de sources non fiables. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4772">CVE-2007-4772</a> <p> Tavis Ormandy et Will Drewry ont découvert qu'il était possible de tromper l'optimiseur d'expressions rationnelles pour le faire entrer dans une boucle sans fin engendrant un déni de service. Cela ne constitue un problème de sécurité que si une application utilisant PostgreSQL traite des expressions rationnelles venant de sources non fiables. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6067">CVE-2007-6067</a> <p> Tavis Ormandy et Will Drewry ont découvert qu'il était possible de tromper l'optimiseur d'expressions rationnelles pour lui faire consommer massivement des ressources. Cela ne constitue un problème de sécurité que si une application utilisant PostgreSQL traite des expressions rationnelles venant de sources non fiables. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6600">CVE-2007-6600</a> <p> Des fonctions dans les expressions d'index peuvent conduire à une augmentation des droits. Pour de plus amples informations veuillez consulter l'annonce amont disponible à <a href="http://www.postgresql.org/about/news.905">\ http://www.postgresql.org/about/news.905</a>. </p> </li> </ul> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet postgresql-8.1. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 8.1.11-0etch1 de postgresql-8.1. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 8.2.6-1 de postgresql-8.2. </p> <p> Nous vous recommandons de mettre à jour votre paquet postgresql-8.1 (version 8.1.11-0etch1). </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1460.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Validations des entrées insuffisantes</define-tag> <define-tag moreinfo> <p> Brad Fitzpatrick a découvert que les fonctions de libxml2 décodant l'UTF-8, la bibliothèque XML de Gnome, ne vérifiaient pas suffisamment la validité des données UTF-8. Cela pourrait conduire à une déni de service en obligeant libxml2 à entrer dans une boucle sans fin. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ce problème a été corrigé dans la version 2.6.16-7sarge1. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.6.27.dfsg-2. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème sera corrigé prochainement. </p> <p> Nous vous recommandons de mettre à jour votre paquet libxml2. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1461.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Validations des entrées insuffisantes</define-tag> <define-tag moreinfo> <p> Kees Cook a découvert que l'outils hpssd du système d'imagerie et d'impression Linux de HP ne réalisait pas de vérification suffisante des entrées des métacaractères de l'interpréteur de commandes. Cela pourrait engendrer une augmentation locale des privilèges à ceux de l'utilisateur hplip. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 1.6.10-3etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 1.6.10-4.3. </p> <p> Nous vous recommandons de mettre à jour votre paquet hplip. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1462.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités locales ont été découvertes dans PostgreSQL, une base de données SQL relationnelles objet. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3278">CVE-2007-3278</a> <p> On a découvert que le module DBLink ne réalisait pas de validation suffisante des références. Ce problèmes est aussi suivi par <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6601">\ CVE-2007-6601</a>, car le correctif initial était incomplet. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4769">CVE-2007-4769</a> <p> Tavis Ormandy et Will Drewry ont découvert qu'un bogue dans la gestion des références arrières dans le moteur d'expressions rationnelles pouvait conduire à une lecture hors limites engendrant un plantage. Cela ne constitue un problème de sécurité que si une application utilisant PostgreSQL traite des expressions rationnelles venant de sources non fiables. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4772">CVE-2007-4772</a> <p> Tavis Ormandy et Will Drewry ont découvert qu'il était possible de tromper l'optimiseur d'expressions rationnelles pour le faire entrer dans une boucle sans fin engendrant un déni de service. Cela ne constitue un problème de sécurité que si une application utilisant PostgreSQL traite des expressions rationnelles venant de sources non fiables. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6067">CVE-2007-6067</a> <p> Tavis Ormandy et Will Drewry ont découvert qu'il était possible de tromper l'optimiseur d'expressions rationnelles pour lui faire consommer massivement des ressources. Cela ne constitue un problème de sécurité que si une application utilisant PostgreSQL traite des expressions rationnelles venant de sources non fiables. </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6600">CVE-2007-6600</a> <p> Des fonctions dans les expressions d'index peuvent conduire à une augmentation des droits. Pour de plus amples informations veuillez consulter l'annonce amont disponible à <a href="http://www.postgresql.org/about/news.905">\ http://www.postgresql.org/about/news.905</a>. </p> </li> </ul> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), certains de ces problèmes ont été corrigés dans la version 7.4.7-6sarge6 du paquet postgresql. Veuillez noter que les correctifs de <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6600">\ CVE-2007-6600</a> et de la gestion des expressions rationnelles n'ont pas été rétroportés car ils sont trop intrusifs. Nous vous recommandons de faire une mise à jour vers la distribution stable si ces vulnérabilités affectent votre paramétrage. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 7.4.19-0etch1. </p> <p> La distribution instable (<em>Sid</em>) ne contient plus de paquet postgres-7.4. </p> <p> Nous vous recommandons de mettre à jour vos paquets postgresql-7.4. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1463.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Déréférencement d'un pointeur vide</define-tag> <define-tag moreinfo> <p> Oriol Carreras a découvert qu'il était possible de tromper syslog-ng, un démon de journalisation de la prochaine génération, pour lui faire déréférencer un pointeur vide <i>via</i> des horodatages mal formés. Cela peut conduire à un déni de service et à camoufler une autre attaque qui aurait sinon été journalisée. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.0.0-1etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.0.6-1. </p> <p> Nous vous recommandons de mettre à jour votre paquet syslog-ng. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1464.data"
#use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" <define-tag description>Erreur de programmation</define-tag> <define-tag moreinfo> <p> Felipe Sateler a découvert qu'apt-listchanges, un outil de notification de l'historique des modifications d'un paquet, utilisait de chemins de fichiers peu sûrs lors de l'importation de ses bibliothèques python. Cela peut permettre l'exécution de commandes de shell arbitraires si le superutilisateur exécute la commande dans un répertoire où d'autres utilisateurs locaux peuvent écrire. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) n'est pas affectée. </p> <p> Pour la distribution stable (<em>Etch</em>), ce problème a été corrigé dans la version 2.72.5etch1. </p> <p> Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans la version 2.82. </p> <p> Nous vous recommandons de mettre à jour votre paquet apt-listchanges. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1465.data"
#use wml::debian::translation-check translation="1.5" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Le correctif de X.org pour <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6429">\ CVE-2007-6429</a> a introduit une régression dans l'extension MIT-SHM ce qui empêche le démarrages de quelques applications. Cette mise à jour fournit des paquets pour la version de xfree86 incluse dans l'ancienne distribution stable (<em>Sarge</em>) de Debian en plus des paquets corrigés pour la distribution stable (<em>Etch</em>) qui étaient fournis dans le bulletin de sécurité DSA 1466-2. </p> <p> Pour mémoire, veuillez trouver le texte du bulletin initial ci-dessous : </p> <p> Plusieurs vulnérabilités locales ont été découvertes dans le serveur X X.Org. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5760">CVE-2007-5760</a> <p> <q>regenrecht</q> a découvert que des vérifications insuffisantes d'entrées dans l'extension XFree86-Misc pouvaient conduire à une augmentation locale des droits. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5958">CVE-2007-5958</a> <p> On a découvert que des messages d'erreur de la gestion des fichiers de la politique de sécurité pouvaient conduire à de petites fuites d'informations divulguant l'existence de fichiers sinon inaccessibles à l'utilisateur. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6427">CVE-2007-6427</a> <p> <q>regenrecht</q> a découvert que des vérifications insuffisantes d'entrées dans l'extension XInput-Misc pouvaient conduire à une augmentation locale des droits. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6428">CVE-2007-6428</a> <p> <q>regenrecht</q> a découvert que des vérifications insuffisantes d'entrées dans l'extension TOG-CUP pouvaient conduire à une augmentation locale des droits. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6429">CVE-2007-6429</a> <p> <q>regenrecht</q> a découvert que des débordements d'entiers dans les extensions EVI et MIT-SHM pouvaient conduire à une augmentation locale des droits. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0006">CVE-2008-0006</a> <p> On a découvert qu'une validation insuffisante des polices de caractères PCF pouvaient conduire à une augmentation locale des droits. </p> </li> </ul> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 4.3.0.dfsg.1-14sarge7 de xfree86. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 1.1.1-21etch3 de xorg-server et la version 1.2.2-2.etch1 de libxfont. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 2:1.4.1~git20080118-1 de xorg-server et la version 1:1.3.1-2 de libxfont. </p> <p> Nous vous recommandons de mettre à jour vos paquets X.org ou Xfree86. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1466.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités a distance ont été découvertes dans Mantis, un système de suivi des bogues basé sur la toile. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6574">CVE-2006-6574</a> <p> Des champs personnalisés ne sont pas correctement protégés par un contrôle d'accès au niveau des objets. Cela permet la publication de données sensibles. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6611">CVE-2007-6611</a> <p> Plusieurs problèmes de scripts intersites permettent à un attaquant distant d'insérer du HTML ou des scripts malveillants dans des pages de Mantis. </p> </li> </ul> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 0.19.2-5sarge5. </p> <p> Pour la distribution stable (<em>Etch</em>) n'est pas affectée. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 1.0.8-4. </p> <p> Nous vous recommandons de mettre à jour votre paquet mantis. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1467.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités à distance ont été découvertes dans le moteur JSP et microserveur Tomcat. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0128">CVE-2008-0128</a> <p> Olaf Kock a découvert que le chiffrement HTTPS n'était pas suffisamment fort pour les <i>cookies</i> single-sign-on. Cela peut entraîner une divulgation d'informations. </p> </li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2450">CVE-2007-2450</a> <p> On a découvert que les applications Manager et Host Manager ne réalisaient pas de vérifications suffisantes des entrées. Cela peut conduire à des attaquent par scripts intersites. </p> </li> </ul> <p> Cette mise à jour adapte également le paquet tomcat5.5-webapps aux droits restreints induits dans le bulletin de sécurité précédent sur tomcat5.5. Cependant, il convient de noter que tomcat5.5-webapps ne sert qu'à fins de démonstration et de documentation et ne devrait pas être utilisé sur des systèmes de production. </p> <p> L'ancienne distribution stable (<em>Sarge</em>) ne contient pas de paquet tomcat5.5. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 5.5.20-2etch2. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes seront corrigés prochainement. </p> <p> Nous vous recommandons de mettre à jour vos paquets tomcat5.5. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1468.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Sean de Regge et Greg Linares ont découvert plusieurs débordements de mémoire tampon basés sur des zones de mémoire et sur la pile dans FLAC, le codec audio sans perte libre. Cela peut conduire à l'exécution de code arbitraire. </p> <p> Pour l'ancienne distribution stable (<em>Sarge</em>), ces problèmes ont été corrigés dans la version 1.1.1-5sarge1. </p> <p> Pour la distribution stable (<em>Etch</em>), ces problèmes ont été corrigés dans la version 1.1.2-8. </p> <p> Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés dans la version 1.2.1-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets flac. </p> </define-tag> # ne pas modifier la ligne suivante #include "$(ENGLISHDIR)/security/2008/dsa-1469.data"
signature.asc
Description: Digital signature