Merci d'avance aux relecteurs, -- Olaf'
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Peteul" <define-tag description>Variées</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités locales / à distance ont été découvertes dans lighttpd, un serveur web rapide ayant une empreinte mémoire minimale.</p>
<p>Le projet « Common Vulnerabilities and Exposures » identifie les problèmes suivants :</p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4298">CVE-2008-4298</a> <p>Une fuite de mémoire dans la fonction http_request_parse pouvait être utilisée par des attaquants distants pour faire consumer la mémoire par lighttpd, et provoquer une attaque de type déni de service.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4359">CVE-2008-4359</a> <p>Une gestion incohérente des motifs d'URL pouvait conduire à la révélation de ressources qu'un administrateur de serveur n'avait pas anticipé lors de l'utilisation de réécriture d'URL.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4360">CVE-2008-4360</a> <p>Sur des systèmes de fichiers qui ne gère pas les chemins insensibles à la casse différemment, il aurait été possible que des ressources imprévues soient rendues disponibles par le module mod_userdir.</p></li> </ul> <p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.4.13-4etch11.</p> <p>Pour la distribution instable (Sid), ces problèmes seront bientôt corrigés.</p> <p>Nous vous recommandons de mettre à jour votre paquet lighttpd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2008/dsa-1645.data" # $Id: dsa-1645.wml,v 1.2 2008-10-06 18:18:01 spaillar Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Peteul" <define-tag description>Vérification des liens d'un vecteur</define-tag> <define-tag moreinfo> <p>Une faiblesse a été découverte dans squid, un serveur proxy muni d'un cache. Le défaut a été introduit en amont, en réponse à <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6239">CVE-2007-6239</a>, et annoncé par Debian dans <a href="dsa-1482">DSA-1482-1</a>. Le défaut impliquait une vérification sur-agressive des liens dans un redimensionnement de tableau, et pouvait être exploité par un client autorisé pour provoquer une condition de déni de service contre squid.</p> <p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.6.5-6etch2.</p> <p>Nous vous recommandons de mettre à jour vos paquets squid.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2008/dsa-1646.data" # $Id: dsa-1646.wml,v 1.2 2008-11-03 15:03:46 peterk Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Peteul" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans PHP, un langage de script côté serveur, intégré à HTML. Le projet « Common Vulnerabilities and Exposures » identifie les problèmes suivants :</p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3658">CVE-2008-3658</a> <p>Un débordement de tampon dans la fonction imageloadfont permettait un déni de service ou l'exécution de code à l'aide d'un fichier de fonte artisanal.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3659">CVE-2008-3659</a> <p>Un débordement de tampon dans la fonction memnstr permettait un déni de service ou l'exécution de code à l'aide du passage d'un paramètre délimiteur artisanal dans la fonction explode.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3660">CVE-2008-3660</a> <p>Un déni de service était possible dans le module FastCGI par un attaquant distant en faisant une requête avec de multiples points avant l'extension.</p></li> </ul> <p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 5.2.0-8+etch13.</p> <p>Pour les distributions de test (Lenny) et instable (Sid), ces problèmes ont été corrigés dans la version 5.2.6-4.</p> <p>Nous vous recommandons de mettre à jour votre paquet php5.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2008/dsa-1647.data" # $Id: dsa-1647.wml,v 1.1 2008-10-07 10:11:15 spaillar Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Peteul" <define-tag description>fichiers temporaires non sûrs</define-tag> <define-tag moreinfo> <p>Dmitry E. Oboukhov a découvert que le script test.alert utilisé par l'une des fonctions d'alerte de mon, un système pour surveiller des hôtes ou des services et alerter en cas de problèmes, crée des fichiers temporaires de façon non sécurisée, ce qui peut entraîner un déni de service local, au moyen d'attaques de liens symboliques.</p> <p>Pour la distribution stable (Etch), ce problème a été corrigé dans la version 0.99.2-9+etch2.</p> <p>Pour les distributions de test (Lenny) et instable (Sid), ce problème a été corrigé dans la version 0.99.2-13.</p> <p>Nous vous recommandons de mettre à jour votre paquet mon.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2008/dsa-1648.data" # $Id: dsa-1648.wml,v 1.1 2008-10-08 22:08:32 spaillar Exp $
#use wml::debian::translation-check translation="" maintainer="Thomas Peteul" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p>Cameron Hotchkies a découvert que le serveur OpenLDAP slapd, une implémentation libre du protocole LDAP (« Lightweight Directory Access Protocol »), pouvait être effondré en envoyant des requêtes ASN1 mal formées.</p> <p>Pour la distribution stable (Etch), ce problème a été corrigé dans la version 2.3.30-5+etch2.</p> <p>Pour la distribution instable (Sid), ce problème a été corrigé dans la version 2.4.10-3 du paquet openldap.</p> <p>Nous vous recommandons de mettre à jour vos paquets openldap2.3.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2008/dsa-1650.data" # $Id: dsa-1650.wml,v 1.1 2008-10-12 10:38:50 spaillar Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Thomas Peteul" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités distantes ont été découvertes dans le navigateur web Iceweasel, une version démarquée du navigateur Firefox. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0016">CVE-2008-0016</a> <p>Justin Schuh, Tom Cross et Peter Williams ont découvert un débordement de tampon dans le découpeur d'URL en UTF-8, ce qui peut mener à l'exécution de code arbitraire.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3835">CVE-2008-3835</a> <p><q>moz_bug_r_a4</q> a découvert que la vérification de même origine dans nsXMLDocument::OnChannelRedirect() pouvait être contournée.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3836">CVE-2008-3836</a> <p><q>moz_bug_r_a4</q> a découvert que plusieurs vulnérabilités dans la fonction feedWriter pouvait conduire à une augmentation des droits de Chrome.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3837">CVE-2008-3837</a> <p>Paul Nickerson a découvert qu'un attaquant pouvait déplacer des fenêtres pendant un clic de souris, résultant en une action non désirée provoquée par un glisser-lâcher.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4058">CVE-2008-4058</a> <p><q>moz_bug_r_a4</q> a découvert une vulnérabilité qui peut résulter dans une augmentation des privilèges de Chrome à travers XPCNativeWrappers.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4059">CVE-2008-4059</a> <p><q>moz_bug_r_a4</q> a découvert une vulnérabilité qui peut résulter dans une augmentation des privilèges de Chrome à travers XPCNativeWrappers.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4060">CVE-2008-4060</a> <p>Olli Pettay et <q>moz_bug_r_a4</q> ont découvert une augmentation des droits de Chrome dans la gestion de XSLT.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4061">CVE-2008-4061</a> <p>Jesse Ruderman a découvert un crash dans le moteur de rendu, qui aurait pu permettre l'exécution de code arbitraire.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4062">CVE-2008-4062</a> <p>Igor Bukanov, Philip Taylor, Georgi Guninski et Antoine Labour ont découvert des crashes dans le moteur Javascript, qui auraient pu permettre l'exécution de code arbitraire.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4065">CVE-2008-4065</a> <p>Dave Reed a découvert que certaines marques de l'ordre des octets d'Unicode sont effacées du code Javascript avant exécution, ce qui peut résulter en l'exécution de code qui était autrement une partie d'une chaîne entre guillemets.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4066">CVE-2008-4066</a> <p>Gareth Heyes discovered that some Unicode surrogate characters are ignored by the HTML parser.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4067">CVE-2008-4067</a> <p>Boris Zbarsky a découvert que resource: URLs permet la traversée de répertoire lors de l'utilisation de barres obliques encodées en URL.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4068">CVE-2008-4068</a> <p>Georgi Guninski a découvert que resource: URLs pouvait contourner des restrictions locales d'accès.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4069">CVE-2008-4069</a> <p>Billy Hoffman a découvert que le décodeur XBM pouvait révéler de la mémoire non initialisée.</p></li> </ul> <p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.0.0.17-0etch1. Des paquets pour l'architecture hppa seront fournis plus tard.</p> <p>Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.0.3 d'iceweasel et la version 1.9.0.3-1 de xulrunner.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2008/dsa-1649.data" # $Id: dsa-1649.wml,v 1.3 2008-10-16 13:58:54 jseidel Exp $
signature.asc
Description: OpenPGP digital signature