Salut, On 09/11/2011 21:41, David Prévot wrote:
Trois mises à jour de sécurité ont été mises en ligne, et j'en ai traduit trois plus anciennes, par avance merci pour vos relectures.
Merci à Thomas et Jean Paul, et par avance merci pour vos dernières remarques.
Amicalement David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans la suite Internet Iceape, une version sans marque de Seamonkey. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3647">CVE-2011-3647</a> <p> <q>moz_bug_r_a4</q> a découvert une vulnérabilité d'augmentation de droits dans le traitement des greffons. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3648">CVE-2011-3648</a> <p> Yosuke Hasegawa a découvert qu'un traitement incorrect des encodages Shift-JIS pourrait conduire à un script intersite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3650">CVE-2011-3650</a> <p> Marc Schoenefeld a découvert que le profilage du code JavaScript pourrait conduire à une corruption de mémoire. </p></li> </ul> <p>La distribution oldstable (Lenny) n'est pas concernée. Le paquet iceape ne fournit que le code XPCOM. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-9.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.0.14-9.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceape.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2342.data" # $Id: dsa-2342.wml,v 1.1 2011-11-10 01:40:10 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner intégrée fournit des services de rendu pour plusieurs autres applications intégrées à Debian. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3647">CVE-2011-3647</a> <p> <q>moz_bug_r_a4</q> a découvert une vulnérabilité d'augmentation de droits dans le traitement des greffons. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3648">CVE-2011-3648</a> <p> Yosuke Hasegawa a découvert qu'un traitement incorrect des encodages Shift-JIS pourrait conduire à un script intersite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3650">CVE-2011-3650</a> <p> Marc Schoenefeld a découvert que le profilage du code JavaScript pourrait conduire à une corruption de mémoire. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.9.0.19-15 du paquet source xulrunner.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-11.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 8.0-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2341.data" # $Id: dsa-2341.wml,v 1.1 2011-11-10 01:40:10 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Révocation de confiance en une autorité de certification</define-tag> <define-tag moreinfo> <p> Plusieurs certificats faibles ont été délivrés par l'autorité de certification intermédiaire malaisienne <q>Digicert Sdn. Bhd.</q> Cet événement, ainsi que d'autres problèmes, ont conduit Entrust Inc. et Verizon Cybertrust à révoquer leurs certificats de signature croisée d'autorité de certification. </p> <p> Cette mise à jour d'OpenSSL, une boîte à outils de cryptographie associés à SSL (Secure Socket Layer), reflète cette décision en marquant les certificats de Digicert Sdn. Bhd. révoqués. </p> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.9.8g-15+lenny14.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.9.8o-4squeeze4.</p> <p>Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.0.0e-2.1.</p> <p>Nous vous recommandons de mettre à jour vos paquets openssl.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2343.data" # $Id: dsa-2343.wml,v 1.1 2011-11-10 01:40:10 taffit Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans GraphicsMagick, une collection d'outils de traitement d'images, qui peuvent conduire à l'exécution de code arbitraire, la révélation de renseignements sensibles ou provoquer un déni de service. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants : </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2007-1667">CVE-2007-1667</a> <p> Plusieurs débordements d'entiers dans la fonction XInitImage de xwd.c de GraphicsMagick permettent aux attaquants distants, avec l'aide d'un utilisateur, de provoquer un déni de service (plantage) ou d'obtenir des renseignements sensibles à l'aide d'images contrefaites avec des valeurs grandes ou négatives qui déclenchent un débordement de mémoire tampon. Seule la distribution oldstable (Etch) est concernée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2007-1797">CVE-2007-1797</a> <p> Plusieurs débordements d'entiers permettent aux attaquants distants d'exécuter du code arbitraire à l'aide d'une image DCM contrefaite, ou de champs de couleurs ou commentaires d'une image XWD contrefaite. Seule la distribution oldstable (Etch) est concernée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2007-4985">CVE-2007-4985</a> <p> Un fichier image contrefait peut déclencher une boucle infinie dans la fonction ReadDCMImage ou dans la fonction ReadXCFImage. Seule la distribution oldstable (Etch) est concernée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2007-4986">CVE-2007-4986</a> <p> Plusieurs débordements d'entiers permettent aux attaquants distants en fonction du contexte d'exécuter du code arbitraire à l'aide d'un fichier image .dcm, .dib, .xbm, .xcf ou .xwd contrefait, ce qui déclenche un débordement de tas. Seule la distribution oldstable (Etch) est concernée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2007-4988">CVE-2007-4988</a> <p> Une erreur d'extension de signe permet aux attaquants en fonction du contexte d'exécuter du code arbitraire à l'aide d'une valeur de largeur contrefaite dans un fichier image, ce qui déclenche un débordement d'entier et un débordement de tas. Seule la distribution oldstable (Etch) est concernée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-1096">CVE-2008-1096</a> <p> La fonction load_tile du codeur XCF permet aux attaquants distants, avec l'aide d'un utilisateur, de provoquer un déni de service ou éventuellement d'exécuter du code arbitraire à l'aide d'un fichier .xcf contrefait qui déclenche une écriture de tas hors limite. Seule la distribution oldstable (Etch) est concernée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-3134">CVE-2008-3134</a> <p> Plusieurs vulnérabilités dans les versions de GraphicsMagick antérieures à 1.2.4 permettent aux attaquants distants de provoquer un déni de service (plantage, boucle infinie ou consommation de mémoire) à l'aide de moyens dans les lecteurs de décodeur AVI, AVS, DCM, EPT, FITS, MTV, PALM, RLA et TGA, et de la fonction GetImageCharacteristics de magick/image.c, telle qu'accessible depuis un fichier PNG, JPEG, BMP ou TIFF contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-6070">CVE-2008-6070</a> <p> Plusieurs dépassements par le bas de mémoire tampon basée sur le tas dans la fonction ReadPALMImage de coders/palm.c dans les versions de GraphicsMagick antérieures à 1.2.3 permettent aux attaquants distants de provoquer un déni de service (plantage) ou éventuellement d'exécuter du code arbitraire à l'aide d'une image PALM contrefaite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-6071">CVE-2008-6071</a> <p> Un débordement de mémoire tampon basée sur le tas dans la fonction DecodeImage de coders/pict.c dans les versions de GraphicsMagick antérieures à 1.1.14, et 1.2.x avant la version 1.2.3, permet aux attaquants distants de provoquer un déni de service (plantage) ou éventuellement d'exécuter du code arbitraire à l'aide d'une image PICT contrefaite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-6072">CVE-2008-6072</a> <p> Plusieurs vulnérabilités dans GraphicsMagick permettent aux attaquants distants de provoquer un déni de service (plantage) à l'aide de moyens dans les images XCF et CINEON. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-6621">CVE-2008-6621</a> <p> Une vulnérabilité dans GraphicsMagick permet aux attaquants distants de provoquer un déni de service (plantage) à l'aide de moyens dans les images DPX. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1882">CVE-2009-1882</a> <p> Un dépassement d'entier permet aux attaquants distants de provoquer un déni de service (plantage) et éventuellement d'exécuter du code arbitraire à l'aide d'un fichier TIFF contrefait, ce qui déclenche un débordement de mémoire tampon. </p></li> </ul> <p>Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 1.1.7-13+etch1.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.1.11-3.2+lenny1.</p> <p>Pour la distribution stable à venir (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.3.5-5.1.</p> <p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1903.data" # $Id: dsa-1903.wml,v 1.3 2011-11-11 12:53:52 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> Une vulnérabilité de déni de service a été découverte dans nginx, un petit serveur web efficace. </p> <p> Jasson Bell a découvert qu'un attaquant distant pourrait provoquer un déni de service (erreur de segmentation) en envoyant une requête contrefaite. </p> <p>Pour l'ancienne distribution stable (Etch), ce problème a été corrigé dans la version 0.4.13-2+etch3.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.6.32-3+lenny3.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème a été corrigé dans la version 0.7.62-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet nginx.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1920.data" # $Id: dsa-1920.wml,v 1.1 2011-11-10 01:40:05 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Vulnérabilité d'injection SQL</define-tag> <define-tag moreinfo> <p> Max Kanat-Alexander, Bradley Baetz, et Frédéric Buclin ont découvert une vulnérabilité d'injection SQL dans la fonction Bug.create du composant WebService de Bugzilla, un système de suivi de bogues avec interface web. Cela permet aux attaquants distants d'exécuter des commandes SQL arbitraires. </p> <p>La distribution oldstable (Etch) n'est pas concernée par ce problème.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 3.0.4.1-2+lenny2.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets bugzilla.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1913.data" # $Id: dsa-1913.wml,v 1.1 2011-11-10 01:40:05 taffit Exp $