Salut,

Une mise à jour de sécurité a été mise en ligne, et j'en ai traduit deux
plus anciennes pour récupérer le retard, par avance merci pour vos
relectures.

Amicalement

David


#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>écrasement arbitraire de fichier</define-tag>
<define-tag moreinfo>
<p>
Nicolas Gregoire a découvert que la bibliothèque de sécurité XML
xmlsec permettait à des attaquants distants de créer ou écraser
des fichiers arbitraires à l'aide de fichiers XML trafiqués pour
l'occasion en utilisant l'extension de sortie libxslt et un
élément ds:Transform lors de la vérification de signature.
</p>


<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.2.9-5+lenny1.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.14-1+squeeze1.</p>

<p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.2.14-1.1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xmlsec1.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2219.data"
# $Id: dsa-2219.wml,v 1.1 2011-04-18 23:04:56 taffit-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Empoisonnement du cache DNS</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités d'empoisonnement
du cache DNS ont été découvertes dans BIND.

Ces vulnérabilités ne touchent que les installation où la validation
DNSSEC est activée et les ancres de confiance (<q>trust anchors</q>)
ont été installées, ce qui n'est pas le cas par défaut.
</p>

<p>Le projet « Common Vulnerabilities et Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>

<li><p><a href="http://security-tracker.debian.org/tracker/CVE-2010-0097";>CVE-2010-0097</a>
<p>
BIND ne valide pas correctement les enregistrements DNSSEC NSEC.

Cela permet aux attaquants distants d'ajouter l'option <q>Authenticated
Data</q> (AD) à une réponse NXDOMAIN contrefaite pour un domaine existant.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0290";>CVE-2010-0290</a>
<p>
Lors du traitement de réponses trafiquées contenant des enregistrements
CNAME ou DNAME, BIND est exposé à une vulnérabilité d'empoisonnement du
cache DNS, à condition que la validation DNSSEC soit activée et que les
ancres de confiance (<q>trust anchors</q>) aient été installées.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0382";>CVE-2010-0382</a>
<p>
Lors du traitement de certaines réponses contenant des données de fin
de bailliage, BIND est exposé à une vulnérabilité d'empoisonnement du
cache DNS, à condition que la validation DNSSEC soit activée et que
les ancres de confiance (<q>trust anchors</q>) aient été installées.
</p></li>

</ul>

<p>
De plus, cette mise à jour introduit un comportement de requête plus conservateur
en présence d'échecs répétés de validation DNSSEC, qui permet de s'occuper du
phénomène de recouvrement suivi d'échec (<q>roll over and die</q>).

La nouvelle version prend également en charge l'algorithme
cryptographique utilisé par la racine DNS de l'ICANN (RSASHA256
de la RFC 5702), et l'algorithme sécurisé de déni d'existence
NSEC3 utilisé par certains domaines de premier niveau signés.
</p>

<p>

<p>
Cette mise à jour est basée sur une nouvelle
version amont de BIND 9 : 9.6-ESV-R1.

En raison de la portée des modifications, une attention particulière
est conseillée lors de l'installation de cette mise à jour.

À cause de modifications de l'ABI, de nouveaux paquets
Debian sont inclus, et la mise à jour doit être
installée en utilisant <code>apt-get dist-upgrade</code>
ou une commande <code>aptitude</code> équivalente).
</p>


<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1:9.6.ESV.R1+dfsg-0+lenny1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:9.7.0.dfsg-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bind9.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2054.data"
# $Id: dsa-2054.wml,v 1.1 2011-04-18 23:14:58 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Injection SQL</define-tag>
<define-tag moreinfo>
<p>
On a découvert que Mahara, un portefeuille électronique complet, blog,
constructeur de curriculum vitæ et système de réseau social, ne protège
pas correctement l'entrée en créant un identifiant unique à partir d'un
nom d'utilisateur provenant d'une simple application d'inscription.

Un attaquant peut utiliser cela pour compromettre la base de
données de Mahara à l'aide de noms d'utilisateur trafiqués.
</p>


<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.0.4-4+lenny5.</p>

<p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.2.4-1.</p>


<p>Nous vous recommandons de mettre à jour vos paquets mahara.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2030.data"
# $Id: dsa-2030.wml,v 1.1 2011-04-18 23:14:53 taffit-guest Exp $

Attachment: signature.asc
Description: OpenPGP digital signature

Répondre à