Salut, Une annonce de sécurité a été publiée aujourd'hui, et j'en ai traduit une plus ancienne, par avance merci pour vos relectures.
Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Unbound, un résolveur DNS récursif, planterait dors du traitement de certaines réponses DNS contrefaites depuis des serveurs DNS autoritaires, conduisant à un déni de service. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4528">CVE-2011-4528</a> <p> Unbound essaye de libérer de la mémoire non allouée lors du traitement d'enregistrements CNAME dupliqués dans une zone signée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4869">CVE-2011-4869</a> <p> Unbound ne traite pas correctement les réponses contrefaites à qui il manque les enregistrements NSEC3 attendus. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 1.4.6-1~lenny2.</p> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1.4.6-1+squeeze2.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.14-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets unbound.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2370.data" # $Id: dsa-2370.wml,v 1.1 2011-12-22 19:27:47 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans MapServer, une plate-forme pour mettre en ligne des données spatiales et des applications cartographiques interactives sur le web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0843">CVE-2009-0843</a> <p> Une validation d'entrée manquante sur le nom d'un fichier de carte demandé par l'utilisateur peut être utilisé par un attaquant pour vérifier l'existence d'un fichier particulier en utilisant le paramètre queryfile de GET et en comparant les différences de messages d'erreur. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0842">CVE-2009-0842</a> <p> Un manque de vérification de type de fichier lors de l'analyse d'un fichier de carte peut conduire à une fuite partielle de contenu de fichiers arbitraires à l'aide des messages d'erreur de l'analyseur. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0841">CVE-2009-0841</a> <p> à cause de validations d'entrées insuffisantes lors de la sauvegarde de fichiers de carte dans certaines conditions, il est possible de réaliser des attaques de traversée de répertoires et de créer créer des fichiers arbitraires. <strong>Remarque</strong> : à moins que l'attaquant ne soit capable de créer des répertoires dans le chemin d'image ou qu'il y ait déjà un répertoire lisible, cela ne concerne pas les installations sous Linux car l'appel système fopen() échouera dans les cas où un chemin intermédiaire n'est pas lisible. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0839">CVE-2009-0839</a> <p> MapServer est vulnérable à un dépassement de pile lors du traitement de certains paramètres GET. Un attaquant peut utiliser cela pour exécuter du code arbitraire sur le serveur à l'aide d'un paramètre d'identifiant contrefait. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0840">CVE-2009-0840</a> <p> Un dépassement d'entier permettant un dépassement de tas lors du traitement de l'en-tête Content-Length d'une requête HTTP peut être utilisé par un attaquant pour exécuter du code arbitraire à l'aide de requêtes POST contrefaites contenant des valeurs de Content-Length négatives. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2281">CVE-2009-2281</a> <p> Un dépassement d'entier lors du traitement de requêtes HTTP peut conduire à un dépassement de tas. Un attaquant peut utiliser cela pour exécuter du code arbitraire soit à l'aide de valeurs de Content-Length contrefaites, soit avec de grandes requêtes HTTP. Cela est en partie dû à un correctif incomplet pour <a href="http://security-tracker.debian.org/tracker/CVE-2009-0840">CVE-2009-0840</a>. </p></li> </ul> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 4.10.0-5.1+etch4.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 5.0.3-3+lenny4.</p> <p>Pour la distribution testing (Squeeze), ce problème a été corrigé dans la version 5.4.2-1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.4.2-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mapserver.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1914.data" # $Id: dsa-1914.wml,v 1.2 2010-12-17 14:40:21 taffit-guest Exp $
signature.asc
Description: OpenPGP digital signature