[LCFC] webwml://security/2004/dsa-{612,613,615}.wml
Le jeudi 23 décembre 2004 à 02:31 +0100, Simon Paillard a écrit :
> Voici les dernières DSA parues.
>
> Merci pour vos relectures
Merci à Bernard Adrian et Thomas Huriaux pour leurs relectures.
RAS pour 615, lcfc déjà envoyé pour le 614.
Quelqu'un pourrait-il commiter tout cela ?
webwml://security/2004/dsa-{612,613,614,615}.wml
Merci.
--
Simon Paillard <[EMAIL PROTECTED]>
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
Boucle infinie
Brian Caswell a découvert qu'un packet SMB malformé pouvait entraîner un
blocage de ethereal et une consommation infinie de temps processeur.
Pour l'actuelle distribution stable (Woody), ce problème a été
corrigé dans la version 0.9.4-1woody9.
Pour la distribution instable (Sid), ce problème a été corrigé dans
la version 0.10.8-1.
Nous vous recommandons de mettre à jour vos paquets ethereal.
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-613.data"
# $Id: dsa-613.wml,v 1.1 2004/12/21 07:48:09 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
Entrées non vérifiées
Rudolf Polzer a découvert une vulnérabilité dans a2ps, un convertisseur et
utilitaire d'impression convivial depuis de nombreux format vers PostScript. Le
programme n'échappait pas les méta-caractères du shell, ce qui pouvait conduire à
l'exécution de commandes arbitraires en tant qu'utilisateur privilégié si a2ps
est installé comme filtre d'impression.
Pour l'actuelle distribution stable (Woody), ce problème a été
corrigé dans la version 4.13b-16woody1
Pour la distribution instable (Sid), ce problème a été corrigé dans
la version 4.13b-4.2.
Nous vous recommandons de mettre à jour votre paquet a2ps.
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-612.data"
# $Id: dsa-612.wml,v 1.1 2004/12/20 11:30:38 joey Exp $
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] wml://security/2004/dsa-{554,555,556,557,558,559}
Le mardi 26 octobre 2004 à 00:14 +0200, Simon Paillard a écrit : DONE pour le robot (erreur de typo dans l'objet) -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/2004/dsa-{617,618,619,620,621}.wml
Le vendredi 07 janvier 2005 à 00:04 +0100, Simon Paillard a écrit : > Le jeudi 06 janvier 2005 à 01:59 +0100, Simon Paillard a écrit : > > Voici quelques alertes de sécurité à relire. > > Merci à Thomas Huriaux pour ses relectures. DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/2004/dsa-{612,613,614,615}.wml
DONE pour le robot -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] wml://security/2004/dsa-{556,557}.wml
Done pour le robot -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[RFR] webwml://security/2004/{dsa-432,dsa-445,dsa-446,dsa-447,dsa-462,dsa-615}.wml
Suite à la mise à jour de la VO (ajout ou correction « projet d'audit de sécurité de Debian ») -- Simon Paillard <[EMAIL PROTECTED]> --- dsa-432.old.wml 2005-01-18 22:06:07.0 +0100 +++ dsa-432.wml 2005-01-18 22:10:12.0 +0100 @@ -1,13 +1,12 @@ -#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" +#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Dépassement de tampon -Steve Kemp du projet d'audit de GNU/Linux a découvert un problème -dans crawl, un jeu d'exploration de donjon en mode console, du +Steve Kemp du projet d'audit de sécurité de Debian a découvert un +problème dans crawl, un jeu d'exploration de donjon en mode console, du même type que nethack et rogue. Le programme utilise plusieurs variables -d'environnement comme entrées mais n'applique pas de vérification de -taille avant de copier l'une d'entre elles dans un tampon de taille -fixe. +d'environnement comme entrées mais n'applique pas de vérification de taille +avant de copier l'une d'entre elles dans un tampon de taille fixe. Pour la distribution stable (Woody), ce problème a été corrigé dans la version 4.0.0beta23-2woody1. --- dsa-445.old.wml 2005-01-18 22:14:16.0 +0100 +++ dsa-445.wml 2005-01-18 22:17:32.0 +0100 @@ -1,12 +1,12 @@ -#use wml::debian::translation-check translation="1.2"maintainer="DFS Task Force" +#use wml::debian::translation-check translation="1.3"maintainer="DFS Task Force" Dépassement de tampon -Au cours d'un audit, Ulf Härnhammar a découvert une vulnérabilité dans -le jeu lbreakout2 ; des vérifications de validité n'étaient pas -effectuées sur des variables d'environnement. Ce bogue pourrait être -exploité par un attaquant local pour gagner les privilèges du groupe -games. +Ulf Härnhammar du projet d'audit de sécurité de Debian a découvert une +vulnérabilité dans le jeu lbreakout2 ; des vérifications de +validité n'étaient pas effectuées sur des variables d'environnement. Ce bogue +pourrait être exploité par un attaquant local pour gagner les privilèges du +groupe games. Pour la distribution stable actuelle (Woody), ce problème a été corrigé dans la version 2.2.2-1woody1. --- dsa-446.wml.old 2005-01-18 22:19:53.0 +0100 +++ dsa-446.wml 2005-01-18 22:23:47.0 +0100 @@ -1,16 +1,15 @@ -#use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force" +#use wml::debian::translation-check translation="1.4" maintainer="DFS Task Force" Création de fichier non sécurisée -Au cours d'un audit, Ulf Härnhammar a découvert une vulnérabilité -dans synaesthesia, un programme de représentation visuelle -du son. synaesthesia créait son fichier de configuration alors -qu'il possédait les privilèges du super-utilisateur, permettant -ainsi à un utilisateur local de créer des fichiers possédés par le -super-utilisateur et accessibles en écriture par le groupe primaire -de l'utilisateur. Ce type de vulnérabilité peut généralement être -facilement exploité pour exécuter n'importe quel code avec les -privilèges du super-utilisateur par divers moyens. +Ulf Härnhammar du projet d'audit de sécurité de Debian a découvert une +vulnérabilité dans synaesthesia, un programme de représentation visuelle +du son. synaesthesia créait son fichier de configuration alors qu'il possédait +les privilèges du super-utilisateur, permettant ainsi à un utilisateur local de +créer des fichiers possédés par le super-utilisateur et accessibles en écriture +par le groupe primaire de l'utilisateur. Ce type de vulnérabilité peut +généralement être facilement exploité pour exécuter n'importe quel code avec +les privilèges du super-utilisateur par divers moyens. Pour la distribution stable actuelle (Woody), ce problème a été corrigé dans la version 2.1-2.1woody1. --- dsa-447.wml.old 2005-01-18 22:30:00.0 +0100 +++ dsa-447.wml 2005-01-18 22:39:51.0 +0100 @@ -1,15 +1,15 @@ -#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" +#use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force" Bogue de format -Au cours d'un audit, Ulf Härnhammar a découvert un bogue de format -dans hsftp. Cette vulnérabilité pourrait être exploitée par un -attaquant à même de créer des fichiers sur un serveur distant avec des -noms soigneusement choisis, auquel un utilisateur se connecterait en -utilisant hsftp. Lorsque l'utilisateur demanderait la liste des fichiers -d'un répertoire, certains octets dans la mémoire pourraient être écrasés, -permettant potentiellement l'exécution de n'importe quel code avec les -privilèges de l'utilisateur invo
[RFR] webwml://security/audit/advisories.wml
Suite à la mise à jour de la version originale. -- Simon Paillard <[EMAIL PROTECTED]> --- webwml/french/security/audit/advisories.wml 2004-07-04 13:25:55.0 +0200 +++ advisories.wml 2005-01-21 00:54:18.0 +0100 @@ -1,12 +1,14 @@ #use wml::debian::template title="Annonces de l'audit de sécurité" #use wml::debian::recent_list -#use wml::debian::translation-check translation="1.6" maintainer="DFS Task Force" +#use wml::debian::translation-check translation="1.9" maintainer="DFS Task Force" Cette page liste chaque DSA qui a été publiée par le projet suite aux efforts d'audit, ce qui souligne le bénéfice direct apporté par ce projet. +# TODO: Add the type of vulnerability to the list (suggested by Martin Schulze) + DSA-205 gtetrinet -DSA-326 orville-écrire +DSA-326 orville-write DSA-327 xbl DSA-329 osh DSA-334 xgalaga @@ -20,12 +22,14 @@ DSA-398 conquest DSA-400 omega-rpg DSA-405 xsok +DSA-406 lftp DSA-420 jitterbug DSA-430 trr19 DSA-432 crawl DSA-445 lbreakout2 DSA-446 synaethesia DSA-447 hsftp +DSA-449 metamail DSA-451 xboing DSA-462 xitalk DSA-468 emil @@ -34,4 +38,10 @@ DSA-508 xpcd DSA-509 gatos DSA-510 jftpgw +DSA-523 www-sql +DSA-527 pavuk +DSA-565 sox +DSA-592 ez-ipupdate +DSA-615 debstd +DSA-622 htmlheadline signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[RFR] webwml://security/faq.wml
Bonsoir, Mise à jour avec la VO suite à l'ajout du paragraphe testing-security. Merci d'avance aux relecteurs. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::template title="FAQ de l'équipe Debian sur la sécurité" #use wml::debian::translation-check translation="1.45" maintainer="DFS Task Force" #include "$(ENGLISHDIR)/security/faq.inc" Ces derniers jours, nous avons reçu un peu trop souvent des questions identiques, et avons donc décidé d'écrire cette page pour y répondre globalement. La signature sur vos avis de sécurité ne semble pas authentique ! Réponse : Il s'agit très certainement d'un problème de votre part. La liste http://lists.debian.org/debian-security-announce/";>\ debian-security-announce a un filtre qui n'autorise que les messages avec une signature valide d'un des membres de l'équipe chargée de la sécurité. Un de vos outils de messagerie doit légèrement modifier le message, ce qui corrompt la signature. Vérifiez que vos logiciels ne font pas d'encodage/décodage sur les types MIME, ou de substitutions entre espaces et tabulations. Les coupables habituels sont fetchmail (avec l'option mimedecode activée), formail (venant de procmail 3.14 seulement) et evolution. Comment s'occupe-t-on de la sécurité dans Debian ? R. : Une fois que l'équipe en charge de la sécurité reçoit notification d'un incident, un ou plusieurs de ses membres examinent la situation et en mesurent l'impact sur la version stable de Debian (i.e. si elle est vulnérable ou non). Si notre système est vulnérable, nous élaborons une correction au problème. Le responsable du paquet est lui aussi contacté, s'il n'a pas déjà contacté l'équipe en charge de la sécurité. Enfin, la correction est testée et de nouveaux paquets sont préparés ; ces paquets sont compilés sur toutes les architectures stables et ensuite mis en téléchargement. Après toutes ces étapes, un rapport est publié. Pourquoi vous cassez vous la tête avec une vieille version de ce paquet ? R. : La règle la plus importante lorsque l'on construit un nouveau paquet qui corrige un problème de sécurité est de faire le moins de changements possibles. Nos utilisateurs et nos développeurs s'attendent à ce que la distribution conserve son comportement d'origine, aussi n'importe quel changement que nous faisons peut éventuellement casser le système de quelqu'un. C'est particulièrement vrai dans le cadre des bibliothèques : assurez-vous de ne jamais changer l'interface de programmation du programme (API) ou l'interface binaire de l'application (ABI : Application Binary Interface), aussi petite soit la modification. Cela signifie que changer pour une version plus récente n'est pas une bonne solution, au lieu de cela la modification doit être rétro-portée. En règle générale les auteurs donnent un coup de main, sinon l'équipe en charge de la sécurité devrait être capable de s'en charger. Dans des cas particuliers il n'est pas possible de rétro-porter une rustine de sécurité, par exemple lorsqu'une grande partie du code source doit être modifiée ou ré-écrite. Si cela survient, il sera nécessaire de passer à une nouvelle version des fichiers sources, mais cela devra se faire avec la participation de l'équipe en charge de la sécurité. Quelle est la politique pour qu'un paquet stable apparaisse dans security.debian.org ? R. : Un trou de sécurité dans la distribution stable justifie un paquet sur security.debian.org. Le reste non. La taille de ce trou n'est pas un réel critère ici. Habituellement, l'équipe chargée de la sécurité prépare les paquets en lien étroit avec le responsable du paquet. L'un d'eux (de confiance) indique les causes du problème, corrige et compile tous les paquets incriminés, puis les envoie à l'équipe chargée de la sécurité. Même si le problème de sécurité est trivial à corriger, la correction est placée sur security.debian.org. Veuillez lire ci-dessous. Les mises à jour de sécurité ont un objectif : fournir une rustine pour une faille de sécurité. Ces mises à jour n'ont pas vocation à intégrer d'autres modifications dans la version stable stable qui outrepasseraient les règles normales qui composent la procédure de publication. Le numéro de version d'un paquet m'indique que j'utilise toujours une version vulnérable ! R. : Au lieu de passer à une nouvelle version, nous réalisons un rétro-portage (« backport ») de la rustine de sécurité vers la version fournie dans la distribution stable. La raison pour laquelle nous faisons cela est qu'une version publiée (« release ») change aussi peu que possible ; a
[LCFC] webwml://security/faq.wml
Le vendredi 21 janvier 2005 à 15:51 +0100, Thomas Huriaux a écrit : > Une relecture de l'ensemble du fichier. Merci Thomas pour ta relecture. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::template title="FAQ de l'équipe Debian sur la sécurité" #use wml::debian::translation-check translation="1.45" maintainer="DFS Task Force" #include "$(ENGLISHDIR)/security/faq.inc" Ces derniers jours, nous avons reçu un peu trop souvent des questions identiques, et avons donc décidé d'écrire cette page pour y répondre globalement. La signature sur vos avis de sécurité ne semble pas authentique ! Réponse : Il s'agit très certainement d'un problème de votre part. La liste http://lists.debian.org/debian-security-announce/";>\ debian-security-announce a un filtre qui n'autorise que les messages avec une signature valide d'un des membres de l'équipe chargée de la sécurité. Un de vos outils de messagerie doit légèrement modifier le message, ce qui corrompt la signature. Vérifiez que vos logiciels ne font pas d'encodage/décodage sur les types MIME, ou de substitutions entre espaces et tabulations. Les coupables habituels sont fetchmail (avec l'option mimedecode activée), formail (venant de procmail 3.14 seulement) et evolution. Comment s'occupe-t-on de la sécurité dans Debian ? R. : Une fois que l'équipe en charge de la sécurité reçoit notification d'un incident, un ou plusieurs de ses membres examinent la situation et en mesurent l'impact sur la version stable de Debian (i.e. si elle est vulnérable ou non). Si notre système est vulnérable, nous élaborons une correction au problème. Le responsable du paquet est lui aussi contacté, s'il n'a pas déjà contacté l'équipe en charge de la sécurité. Enfin, la correction est testée et de nouveaux paquets sont préparés ; ces paquets sont compilés sur toutes les architectures stables et ensuite mis en téléchargement. Après toutes ces étapes, un rapport est publié. Pourquoi vous cassez-vous la tête avec une vieille version de ce paquet ? R. : La règle la plus importante lorsque l'on construit un nouveau paquet qui corrige un problème de sécurité est de faire le moins de changements possibles. Nos utilisateurs et nos développeurs s'attendent à ce que la distribution conserve son comportement d'origine, aussi n'importe quel changement que nous faisons peut éventuellement casser le système de quelqu'un. C'est particulièrement vrai dans le cadre des bibliothèques : assurez-vous de ne jamais changer l'interface de programmation du programme (API) ou l'interface binaire de l'application (ABI : Application Binary Interface), aussi petite soit la modification. Cela signifie que changer pour une version plus récente n'est pas une bonne solution, au lieu de cela la modification doit être rétroportée. En règle générale les auteurs donnent un coup de main, sinon l'équipe en charge de la sécurité devrait être capable de s'en charger. Dans des cas particuliers il n'est pas possible de rétroporter une rustine de sécurité, par exemple lorsqu'une grande partie du code source doit être modifiée ou réécrite. Si cela survient, il sera nécessaire de passer à une nouvelle version des fichiers sources, mais cela devra se faire avec la participation de l'équipe en charge de la sécurité. Quelle est la politique pour qu'un paquet stable apparaisse dans security.debian.org ? R. : Un trou de sécurité dans la distribution stable justifie un paquet sur security.debian.org. Le reste non. L'importance de ce trou n'est pas un réel critère ici. Habituellement, l'équipe chargée de la sécurité prépare les paquets en lien étroit avec le responsable du paquet. L'un d'eux (de confiance) indique les causes du problème, corrige et compile tous les paquets incriminés, puis les envoie à l'équipe chargée de la sécurité. Même si le problème de sécurité est trivial à corriger, la correction est placée sur security.debian.org. Veuillez lire ci-dessous. Les mises à jour de sécurité ont un objectif : fournir une rustine pour une faille de sécurité. Ces mises à jour n'ont pas vocation à intégrer d'autres modifications dans la version stable qui outrepasseraient les règles normales qui composent la procédure de publication. Le numéro de version d'un paquet m'indique que j'utilise toujours une version vulnérable ! R. : Au lieu de passer à une nouvelle version, nous réalisons un rétroportage (« backport ») de la rustine de sécurité vers la version fournie dans la distribution stable. La raison pour laquelle nous faisons cela est qu'une version publiée (« release ») change au
[LCFC] webwml://security/2004/{dsa-446,dsa-447}.wml
Le vendredi 21 janvier 2005 à 15:58 +0100, Thomas Huriaux a écrit : > Une relecture des dsa 446 et 447. Merci pour ta relecture Thomas. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.4" maintainer="DFS Task Force" Création de fichier non sécurisée Ulf Härnhammar du projet d'audit de sécurité de Debian a découvert une vulnérabilité dans synaesthesia, un programme de représentation visuelle du son. synaesthesia créait son fichier de configuration alors qu'il possédait les privilèges du superutilisateur, permettant ainsi à un utilisateur local de créer des fichiers possédés par le superutilisateur et accessibles en écriture par le groupe primaire de l'utilisateur. Ce type de vulnérabilité peut généralement être facilement exploité pour exécuter n'importe quel code avec les privilèges du superutilisateur par divers moyens. Pour la distribution stable actuelle (Woody), ce problème a été corrigé dans la version 2.1-2.1woody1. La distribution instable (Sid) n'est pas affectée par ce problème car le bit setuid de synaesthesia n'est plus positionné. Nous vous recommandons de mettre à jour votre paquet synaesthesia. # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-446.data" #use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force" Bogue de format Ulf Härnhammar du projet d'audit de sécurité de Debian a découvert un bogue de format dans hsftp. Cette vulnérabilité pourrait être exploitée par un attaquant à même de créer des fichiers sur un serveur distant avec des noms soigneusement choisis, auquel un utilisateur se connecterait en utilisant hsftp. Lorsque l'utilisateur demanderait la liste des fichiers d'un répertoire, certains octets dans la mémoire pourraient être écrasés, permettant potentiellement l'exécution de n'importe quel code avec les privilèges de l'utilisateur invoquant hsftp. Veuillez noter que si le bit setuid de hsftp est positionné, les privilèges du superutilisateur ne sont utilisés qu'afin de verrouiller de la mémoire, et sont abandonnés ensuite. Pour la distribution stable actuelle (Woody), ce problème a été corrigé dans la version 1.11-1woody1. Pour la distribution instable (Sid), ce problème sera corrigé prochainement. Nous vous recommandons de mettre à jour votre paquet hsftp. # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-447.data" signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/faq.wml
Le samedi 22 janvier 2005 à 03:09 +0100, Frédéric Bothamy a écrit : > * Denis Barbier <[EMAIL PROTECTED]> [2005-01-21 21:49] : > > On Fri, Jan 21, 2005 at 09:07:54PM +0100, Philippe Grenard wrote: > > > -R. : La réponse courte est : elle ne l'est pas. > > > Contrib et > > > +R. : La réponse courte est : elle ne l'est pas. > > > contrib et > > > > Ici il faut une majuscule car c'est le début d'une phrase. > > Et il ne faut pas de majuscule après le ":". Donc, "la réponse courte...". J'ai modifié toutes les occurences ": [A-Z]" dans ce sens Merci à Philippe Grenard, Denis Barbier et Frédéric Bothamy pour leurs relectures -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::template title="FAQ de l'équipe Debian sur la sécurité" #use wml::debian::translation-check translation="1.45" maintainer="DFS Task Force" #include "$(ENGLISHDIR)/security/faq.inc" Ces derniers jours, nous avons reçu un peu trop souvent des questions identiques, et avons donc décidé d'écrire cette page pour y répondre globalement. La signature sur vos avis de sécurité ne semble pas authentique ! Réponse : il s'agit très certainement d'un problème de votre part. La liste http://lists.debian.org/debian-security-announce/";>\ debian-security-announce a un filtre qui n'autorise que les messages avec une signature valide d'un des membres de l'équipe chargée de la sécurité. Un de vos outils de messagerie doit légèrement modifier le message, ce qui corrompt la signature. Vérifiez que vos logiciels ne font pas d'encodage/décodage sur les types MIME, ou de substitutions entre espaces et tabulations. Les coupables habituels sont fetchmail (avec l'option mimedecode activée), formail (venant de procmail 3.14 seulement) et Evolution. Comment s'occupe-t-on de la sécurité dans Debian ? R. : une fois que l'équipe en charge de la sécurité reçoit notification d'un incident, un ou plusieurs de ses membres examinent la situation et en mesurent l'impact sur la version stable de Debian (i.e. si elle est vulnérable ou non). Si notre système est vulnérable, nous élaborons une correction au problème. Le responsable du paquet est lui aussi contacté, s'il n'a pas déjà contacté l'équipe en charge de la sécurité. Enfin, la correction est testée et de nouveaux paquets sont préparés ; ces paquets sont compilés sur toutes les architectures stables et ensuite mis en téléchargement. Après toutes ces étapes, un rapport est publié. Pourquoi vous cassez-vous la tête avec une vieille version de ce paquet ? R. : la règle la plus importante lorsque l'on construit un nouveau paquet qui corrige un problème de sécurité est de faire le moins de changements possibles. Nos utilisateurs et nos développeurs s'attendent à ce que la distribution conserve son comportement d'origine, aussi n'importe quel changement que nous faisons peut éventuellement casser le système de quelqu'un. C'est particulièrement vrai dans le cadre des bibliothèques : assurez-vous de ne jamais changer l'interface de programmation du programme (API) ou l'interface binaire de l'application (ABI : Application Binary Interface), aussi petite soit la modification. Cela signifie que changer pour une version plus récente n'est pas une bonne solution, au lieu de cela la modification doit être rétroportée. En règle générale les auteurs donnent un coup de main, sinon l'équipe en charge de la sécurité devrait être capable de s'en charger. Dans des cas particuliers il n'est pas possible de rétroporter une rustine de sécurité, par exemple lorsqu'une grande partie du code source doit être modifiée ou réécrite. Si cela survient, il sera nécessaire de passer à une nouvelle version des fichiers sources, mais cela devra se faire avec la participation de l'équipe en charge de la sécurité. Quelle est la politique pour qu'un paquet stable apparaisse dans security.debian.org ? R. : un trou de sécurité dans la distribution stable justifie un paquet sur security.debian.org. Le reste non. L'importance de ce trou n'est pas un réel critère ici. Habituellement, l'équipe chargée de la sécurité prépare les paquets en lien étroit avec le responsable du paquet. L'un d'eux (de confiance) indique les causes du problème, corrige et compile tous les paquets incriminés, puis les envoie à l'équipe chargée de la sécurité. Même si le problème de sécurité est trivial à corriger, la correction est placée sur security.debian.org. Veuillez lire ci-dessous. Les mises à jour de sécurité ont un objectif : fournir une rustine pour une
[DONE] webwml://security/audit/advisories.wml
Le vendredi 21 janvier 2005 à 00:59 +0100, Simon Paillard a écrit : > Suite à la mise à jour de la version originale. Pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[RFR] webwml://security/2005/{dsa-622,dsa-623,dsa-625,dsa-626,dsa-627,dsa-628}.wml
Merci d'avance aux relecteurs. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Fichiers temporaires non sécurisés Javier Fernández-Sanguino Peña du projet d'audit de sécurité de Debian a découvert de multiples usages non sécurisés de fichiers temporaires, qui pouvaient mener à l'écrasement de fichiers arbitraires par une attaque de type lien symbolique. Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 21.8-3. La distribution instable (Sid) ne contient pas ce paquet. Nous vous recommandons de mettre à jour votre paquet htmlheadline. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-622.data" # $Id: dsa-622.wml,v 1.2 2005/01/16 02:32:21 jfs Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Dépassement de tampon Jonathan Rockway a découvert un dépassement de tampon dans nasm, l'assembleur x86 généraliste, qui pouvait mener à l'exécution d'un code arbitraire en compilant un code source en assembleur spécialement conçu. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.98.28cvs-1woody2. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.98.38-1.1. Nous vous recommandons de mettre à jour votre paquet nasm. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-623.data" # $Id: dsa-623.wml,v 1.1 2005/01/04 15:27:20 joey Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Dépassements de tampon Danny Lungstrom a découvert deux dépassements de tampon dans pcal, un programme de génération de calendriers au format Postscript, qui pouvaient mener à l'exécution de code arbitraire lors de la compilation d'un calendrier. Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 4.7-8woody1. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 4.8.0-1. Nous vous recommandons de mettre à jour votre paquet pcal. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-625.data" # $Id: dsa-625.wml,v 1.1 2005/01/05 14:48:35 joey Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Entrée non vérifiée Dmitry V. Levin a découvert un dépassement de tampon dans libtiff, la bibliothèque de traitement d'images au format TIFF. Lors de la lecture d'un fichier TIFF, il est possible d'interrompre l'application, et peut-être même d'exécuter du code arbitraire. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 3.5.5-6.woody5. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 3.6.1-5. Nous vous recommandons de mettre à jour votre paquet libtiff. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-626.data" # $Id: dsa-626.wml,v 1.1 2005/01/06 14:15:30 joey Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Entrée non vérifiée Une vulnérabilité sur les éléments dynamiques (cross site scripting) a été découverte dans namazu2, un moteur de recherche totalement en mode texte. Un attaquant pouvait préparer des paramètres d'entrée spécialement conçus qui n'auraient pas été vérifiés par namazu2, et ainsi affichés tel quels à la victime. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 2.0.10-1woody3. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 2.0.14-1. Nous vous recommandons de mettre à jour votre paquet namazu2. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-627.data" # $Id: dsa-627.wml,v 1.1 2005/01/06 16:05:35 joey Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" integer overflows Pavel Kankovsky a découvert que de nombreux dépassements de tampon trouvés dans la bibliothèque libXpm étaient également présents dans imlib et imlib2, des bibliothèques de traitement d'image pour X et X11. Un attaquant pouvait exécuter un code arbitraire sur la machine victime si celle-ci ouvrait une image malveillante dans une application utilisant imlib ou imlib2. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1025";>CAN-2004-1025 Multiples dépassements de pile mémoire. Le code de imlib2 n'est pas affecté. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1026";>CAN-2004-1026 Multiples dépassements d'entier dans la biblio
[DONE] webwml://News/2005/20050101.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://News/2005/index.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/2004/dsa-{432,445,446,447,462}.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[RFR] webwml://security/index.wml
Suite à la mise à jour de la VO
(liens vers les fils rss entre autres...)
--
Simon Paillard <[EMAIL PROTECTED]>
#use wml::debian::template title="Informations de sécurité" GEN_TIME="yes"
#use wml::debian::recent_list
#include "$(ENGLISHDIR)/releases/info"
#use wml::debian::translation-check translation="1.76" maintainer="DFS Task Force"
Debian prend les questions de sécurité très au sérieux. La plupart des
problèmes de sécurité qui nous sont reportés sont corrigés sous 48 heures.
L'expérience a montré que « la sécurité par le secret » ne
fonctionne pas. Une diffusion publique des problèmes de sécurité apporte plus
rapidement des solutions meilleures. Dans cet esprit, cette page indique l'état
de Debian sur différents trous de sécurité connus, qui pourraient
potentiellement affecter Debian.
Debian participe aussi aux efforts de standardisation de sécurité : les
annonces de sécurité Debian (Debian Security
Advisories) sont compatibles avec le CVE
(référez-vous aux renvois croisés) et Debian est représentée dans le comité du
projet « http://oval.mitre.org/";>Open Vulnerability Assessment
Language ».
Garder un système Debian sûr
Pour obtenir les dernières informations de sécurité de Debian, abonnez-vous
à la liste de diffusion (en anglais) http://lists.debian.org/debian-security-announce/";>\
debian-security-announce.
Il est pratique d'utiliser http://packages.debian.org/stable/base/apt";>apt pour récupérer les
mises à jour relatives à la sécurité. Cela nécessite une ligne telle que
deb http://security.debian.org/ ;/updates main contrib non-free
dans votre fichier /etc/apt/sources.list.
Pour plus d'information au sujet de la sécurité dans Debian, lisez la FAQ de l'équipe en charge de la sécurité et le manuel appelé manuel pour sécuriser Debian.
Annonces récentes
Ces pages web contiennent une archive condensée des annonces de sécurité qui
sont postées sur la liste de diffusion http://lists.debian.org/debian-security-announce/";>\
debian-security-announce.
<:= get_recent_list( '1m', '6', '$(ENGLISHDIR)/security', 'list bydate', 'dsa-\d+' ) :>
{#rss#:
:#rss#}
Les dernières informations de sécurité sont aussi disponibles au format RDF. Nous vous permettons également d'avoir un second fichier qui contient le premier paragraphe de
l'alerte en question. Ainsi vous pourrez savoir de quoi traite le bulletin
d'alerte.
Les annonces de sécurité plus anciennes sont également disponibles :
<:
for ($year = $(CUR_YEAR); $year >= 1997; $year --)
{
print qq' Annonces de sécurité annoncées en $year\n'
if -d "$(ENGLISHDIR)/security/$year";
}
:>
Annonces de sécurités non datées, conservées pour
la postérité.
Les distributions Debian ne sont pas vulnérables à tous les problèmes de
sécurité : Woody
(Debian 3.0) ; Sarge
(Debian 3.1).
Contacts
Veuillez lire la FAQ de l'équipe en charge de la sécurité
avant de nous conctacter, vos questions pourraient peut être d'ores et déjà y
trouver réponse !
Les informations nécessaires pour prendre contact se
trouvent également dans la FAQ.
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[RFR2] webwml://security/index.wml
Le dimanche 23 janvier 2005 à 01:55 +0100, Simon Paillard a écrit :
> Suite à la mise à jour de la VO
> (liens vers les fils rss entre autres...)
Quelques corrections.
--
Simon Paillard <[EMAIL PROTECTED]>
#use wml::debian::template title="Informations de sécurité" GEN_TIME="yes"
#use wml::debian::recent_list
#include "$(ENGLISHDIR)/releases/info"
#use wml::debian::translation-check translation="1.76" maintainer="DFS Task Force"
Debian prend les questions de sécurité très au sérieux. La plupart des
problèmes de sécurité qui nous sont reportés sont corrigés sous 48 heures.
L'expérience a montré que « la sécurité par le secret » ne
fonctionne pas. Une diffusion publique des problèmes de sécurité apporte plus
rapidement des solutions meilleures. Dans cet esprit, cette page indique l'état
de Debian sur différents trous de sécurité connus, qui pourraient
potentiellement affecter Debian.
Debian participe aussi aux efforts de standardisation de sécurité : les
annonces de sécurité Debian (Debian Security
Advisories) sont compatibles avec le CVE
(référez-vous aux renvois croisés) et Debian est représentée dans le comité du
projet « http://oval.mitre.org/";>Open Vulnerability Assessment
Language ».
Garder un système Debian sûr
Pour obtenir les dernières informations de sécurité de Debian,
abonnez-vous à la liste de diffusion (en anglais)
http://lists.debian.org/debian-security-announce/";>\
debian-security-announce.
Il est pratique d'utiliser
http://packages.debian.org/stable/base/apt";>apt pour récupérer les
mises à jour relatives à la sécurité. Cela nécessite une ligne telle
que :
deb http://security.debian.org/ ;/updates main contrib non-free
dans votre fichier /etc/apt/sources.list.
Pour plus d'information au sujet de la sécurité dans Debian, lisez la
FAQ de l'équipe en charge de la sécurité et le manuel appelé
manuel pour sécuriser Debian.
Annonces récentes
Ces pages web contiennent une archive condensée des annonces de sécurité qui
sont postées sur la liste de diffusion
http://lists.debian.org/debian-security-announce/";>\
debian-security-announce.
<:= get_recent_list( '1m', '6', '$(ENGLISHDIR)/security', 'list bydate', 'dsa-\d+' ) :>
{#rss#:
:#rss#}
Les dernières informations de sécurité sont aussi disponibles au
format RDF. Nous vous permettons également d'avoir un
second fichier qui contient le premier paragraphe
de l'alerte en question. Ainsi vous pourrez savoir de quoi traite le bulletin
d'alerte.
Les annonces de sécurité plus anciennes sont également disponibles :
<:
for ($year = $(CUR_YEAR); $year >= 1997; $year --)
{
print qq' Annonces de sécurité annoncées en $year\n'
if -d "$(ENGLISHDIR)/security/$year";
}
:>
Annonces de sécurités non datées, conservées pour
la postérité.
Les distributions Debian ne sont pas vulnérables à tous les problèmes de
sécurité :
Woody (Debian 3.0) ;
Sarge (Debian 3.1).
Contacts
Veuillez lire la FAQ de l'équipe en charge de la sécurité
avant de nous conctacter, vos questions pourraient peut être d'ores et déjà y
trouver réponse !
Les informations nécessaires pour prendre contact se
trouvent également dans la FAQ.
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[ITT] webwml://security/2004/{CAN-2004-0077,CAN-2004-0109,dsa-507,dsa-541,dsa-559}.wml
Je m'occupe de ces quelques DSA de 2004 -- Simon -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
[RFR] webwml://security/2004/{CAN-2004-0077,CAN-2004-0109,dsa-507,dsa-541,dsa-559}.wml
Le lundi 24 janvier 2005 à 14:51 +0100, [EMAIL PROTECTED] a écrit : > Je m'occupe de ces quelques DSA de 2004 Merci d'avance pour vos relectures. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" #use wml::debian::template title="Tableau des vulnérablités du noyau pour CAN-2004-0077" GEN_TIME="yes" Le tableau des vulnérabilités ci-dessous explique quelles versions du noyau dans l'actuelle distribution stable (Woody) et la distribution instable (Sid) ont corrigé la vulnérabilité référencée http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0077";>\ CAN-2004-0077. Architecture stable (Woody) instable (Sid) Alerte #include "$(ENGLISHDIR)/security/2004/CAN-2004-0077.data" #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" #use wml::debian::template title="Tableau des vulnérablités du noyau pour CAN-2004-0109" GEN_TIME="yes" Le tableau des vulnérabilités ci-dessous explique quelles versions du noyau dans l'actuelle distribution stable (Woody) et la distribution instable (Sid) ont corrigé la vulnérabilité référencée http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0109";>\ CAN-2004-0109. Architecture stable (Woody) instable (Sid) Alerte #include "$(ENGLISHDIR)/security/2004/CAN-2004-0109.data" #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Dépassement de tampon Stefan Esser a découvert un problème dans neon, une bibliothèque pour clients HTTP et WebDAV, qui est également présente dans cadaver, un client en ligne de commande pour serveur WebDAV. Les paramètres d'entrée fournis par l'utilisateur sont copiées dans des variables qui ne sont pas suffisament grandes pour tous les cas. Cela peut mener à un dépassement d'une variable de pile statique. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.18.0-1woody3. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.22.1-3. Nous vous recommandons de mettre à jour votre paquet cadaver. # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-507.data" # $Id: dsa-507.wml,v 1.1 2004/05/19 11:37:04 joey Exp $ #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Manque de vérification des entrées Markus Wörle a découvert une vulnérabilité de script sur les éléments dynamiques dans status-display (dans le fichier list.cgi) du serveur Web interne de icecast, un serveur de diffusion MPEG couche 3. L'éventuel code html présent dans la variable « UserAgent » n'est pas correctement échappé. Un attaquant pouvait ainsi faire exécuter au client des commandes Javascript arbitraires. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 1.3.11-4.2. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.3.12-8. Nous vous recommandons de mettre à jour votre paquet icecast-server. # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-541.data" # $Id: dsa-541.wml,v 1.2 2004/08/24 10:37:35 kaare Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Fichier temporaire non sécurisé Stefan Nordhausen a identifié une vulnérabilité locale dans net-acct, un compteur de trafic IP en espace utilisateur. Du code ancien et redondant d'une époque passée créait un fichier temporaire d'une manière non sûre. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.71-5woody1. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.71-7. Nous vous recommandons de mettre à jour votre paquet net-acct. # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-559.data" # $Id: dsa-559.wml,v 1.1 2004/10/06 12:39:36 joey Exp $ signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[LCFC] webwml://security/2004/{CAN-2004-0077,CAN-2004-0109,dsa-507,dsa-541,dsa-559}.wml
Le mardi 25 janvier 2005 à 17:42 +0100, Thomas Huriaux a écrit : > Une relecture. Merci Thomas pour ta relecture. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" #use wml::debian::template title="Tableau des vulnérablités du noyau pour l'entrée CAN-2004-0077" GEN_TIME="yes" Le tableau des vulnérabilités ci-dessous explique quelles versions du noyau dans l'actuelle distribution stable (Woody) et la distribution instable (Sid) ont corrigé la vulnérabilité référencée dans l'entrée http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0077";>\ CAN-2004-0077. Architecture Stable (Woody) Instable (Sid) Alerte #include "$(ENGLISHDIR)/security/2004/CAN-2004-0077.data" #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" #use wml::debian::template title="Tableau des vulnérablités du noyau pour l'entrée CAN-2004-0109" GEN_TIME="yes" Le tableau des vulnérabilités ci-dessous explique quelles versions du noyau dans l'actuelle distribution stable (Woody) et la distribution instable (Sid) ont corrigé la vulnérabilité référencée dans l'entrée http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0109";>\ CAN-2004-0109. Architecture Stable (Woody) Instable (Sid) Alerte #include "$(ENGLISHDIR)/security/2004/CAN-2004-0109.data" #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Dépassement de tampon Stefan Esser a découvert un problème dans neon, une bibliothèque pour clients HTTP et WebDAV, qui est également présente dans cadaver, un client en ligne de commande pour serveur WebDAV. Les paramètres d'entrée fournis par l'utilisateur sont copiés dans des variables qui ne sont pas suffisamment grandes pour tous les cas. Cela peut mener à un dépassement d'une variable de pile statique. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.18.0-1woody3. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.22.1-3. Nous vous recommandons de mettre à jour votre paquet cadaver. # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-507.data" # $Id: dsa-507.wml,v 1.1 2004/05/19 11:37:04 joey Exp $ #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Manque de vérification des entrées Markus Wörle a découvert une vulnérabilité de script sur les éléments dynamiques dans status-display (dans le fichier list.cgi) du serveur web interne de icecast, un serveur de diffusion MPEG couche 3. L'éventuel code HTML présent dans la variable « UserAgent » n'est pas correctement échappé. Un attaquant pouvait ainsi faire exécuter au client des commandes Javascript arbitraires. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 1.3.11-4.2. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.3.12-8. Nous vous recommandons de mettre à jour votre paquet icecast-server. # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-541.data" # $Id: dsa-541.wml,v 1.2 2004/08/24 10:37:35 kaare Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Fichier temporaire non sécurisé Stefan Nordhausen a identifié une vulnérabilité locale dans net-acct, un compteur de trafic IP en espace utilisateur. Du code ancien et redondant d'une époque passée créait un fichier temporaire d'une manière non sûre. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.71-5woody1. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.71-7. Nous vous recommandons de mettre à jour votre paquet net-acct. # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-559.data" # $Id: dsa-559.wml,v 1.1 2004/10/06 12:39:36 joey Exp $ signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[RFR] webwml://security/audit/tools.wml
Un petit soucis dans le 3ème paragraphe de la section sur pscan : Format string bugs are fairly simple to detect and fix, although they are the most recent new class of software attacks the majority of them have probably been found and repaired already. Il me semble qu'un point manque entre « attacks » et « the majority ». C'est dans ce sens que j'ai traduit ce paragraphe. Merci d'avance aux relecteurs. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" #use wml::debian::template title="Outils d'audit de sécurité" #use wml::debian::recent_list Plusieurs paquets disponibles dans l'archive Debian sont destinés à faciliter les audits de code source. Sont inclus : http://packages.debian.org/flawfinder";>Flawfinder Exemple d'utilisation de flawfinder http://packages.debian.org/its4";>ITS4 Il n'y a pas d'exemple fourni pour ITS4 puisque celui-ci a été enlevé de la distribution instable (Sid). http://packages.debian.org/rats";>RATS Exemple d'utilisation de RATS http://packages.debian.org/pscan";>pscan Exemple d'utilisation de pscan Aucun de ces outils n'est parfait. Ils ne peuvent être utilisés que comme point de départ pour des études plus poussées. Mais étant donné leur simplicité d'utilisation, cela vaut le coup de passer du temps à les essayer. Chaque outil a ses avantages et ses inconvénients. C'est pourquoi il est recommandé d'en utiliser plus d'un. Flawfinder flawfinder est un outil codé en Python destiné à analyser du code source C et C++ à la recherche de défauts de sécurité potentiels. Lorsqu'il est exécuté dans un répertoire contenant du code source, la liste des problèmes potentiels détectés est générée,triés par risque (où la variable risk est un entier entre 1 et 5). Pour ignorer les risques mineurs, il est possible de configurer le programme pour de ne pas lister les défauts en dessous d'un certain niveau de risque. Par défaut, la sortie sera formatée en texte brut, mais une sortie au format HTML est également disponible. Le programme fonctionne en scannant le code à la recherche de fonctions connues par sa base de donnéespour être couramment mal utilisées. Afin de faciliter la lecture du rapport, il est possible de générer un rapport contenant la ligne du code source, contenant la fonction utilisée. Cela peut être utile pour détecter immédiatement un problème, ou également de l'éliminer. Vous pouvez voir un exemple de la façon dont est utilisé flawfinder, ainsi que le rapport qu'il génère dans la section des exemples d'audit. ITS4 ITS4 est un outil appartenant à la section non-free de l'archive Debian, qui est disponible uniquement pour l'actuelle distribution stable (Woody). ITS4 peut être utilisé pour chercher dans du code source C et C++ de potentielles failles de sécurité, de même que flawfinder. Le rapport généré essaie d'être pertinent, en exluant une partie des cas où les appels à des fonctions dangereuses ont été faits avec précaution. RATS RATS est un outil similaire à ceux listés ci-dessus, excepté qu'il supporte plus de langages. Actuellement sont supportés C, C++, Perl, PHP and Python. Cet outil utilise un simple fichier XML pour obtenir les vulnérabilités, ce qui en fait l'outil le plus simple à modifier. De nouvelles fonctions peuvent être ajoutées facilement pour chaque langage supporté. Vous pouvez voir un exemple d'utilisation de RATS et le rapport généré dans la section des exemples d'audit. pscan pscan diffère des outils précedemment décrits, car ce n'est pas du tout un scanner généraliste. Au contraire, c'est un programme qui vise spécifiquement la détection de bogues dans le format des chaînes de caractères. L'outil essaiera de trouver des problèmes potentiels dans l'utilisation des fonctions variadiques (pouvant accepter un nombre variable d'arguments) dans du code C et C++, par exemple les fonctions printf, fprintf and syslog. Les bogues de format des chaînes de caractères sont plutôt simples à détecter et réparer, bien qu'ils représentent la nouvelle catégorie d'attaques logicielles. La majorité d'entre eux ont sans doute déjà été trouvés et corrigés. Vous pouvez voir un exemple d'utilisation de pscan et le rapport généré dans la section des exemples d'audit. Comprendre les résultats du scanner Chaque tous les outils généralistes de recherche fournissent des résultats incluant la description du défaut détecté, et dans certains cas un conseil pour corriger le code. Par exemple, ce qui suit est tiré du rapport généré par RATS et décrit les dangers de getenv : "Les variables d'environnement sont des paramètres d'entrée auxquels on ne peut pas faire confiance. Ils peuvent être de toute taille,
[LCFC] webwml://security/index.wml
Le dimanche 23 janvier 2005 à 02:18 +0100, Simon Paillard a écrit :
> Le dimanche 23 janvier 2005 à 01:55 +0100, Simon Paillard a écrit :
> > Suite à la mise à jour de la VO
> > (liens vers les fils rss entre autres...)
>
> Quelques corrections.
Merci à Thomas pour sa relecture.
--
Simon Paillard <[EMAIL PROTECTED]>
#use wml::debian::template title="Informations de sécurité" GEN_TIME="yes"
#use wml::debian::recent_list
#include "$(ENGLISHDIR)/releases/info"
#use wml::debian::translation-check translation="1.76" maintainer="DFS Task Force"
Debian prend les questions de sécurité très au sérieux. La plupart des
problèmes de sécurité qui nous sont reportés sont corrigés sous 48 heures.
L'expérience a montré que « la sécurité par le secret » ne
fonctionne pas. Une diffusion publique des problèmes de sécurité apporte plus
rapidement des solutions meilleures. Dans cet esprit, cette page indique l'état
de Debian sur différents trous de sécurité connus, qui pourraient
potentiellement affecter Debian.
Debian participe aussi aux efforts de standardisation de sécurité : les
annonces de sécurité Debian (Debian Security
Advisories) sont compatibles avec le CVE
(référez-vous aux renvois croisés) et Debian est représentée dans le comité du
projet « http://oval.mitre.org/";>Open Vulnerability Assessment
Language ».
Garder un système Debian sûr
Pour obtenir les dernières informations de sécurité de Debian,
abonnez-vous à la liste de diffusion (en anglais)
http://lists.debian.org/debian-security-announce/";>\
debian-security-announce.
Il est pratique d'utiliser
http://packages.debian.org/stable/base/apt";>apt pour récupérer les
mises à jour relatives à la sécurité. Cela nécessite une ligne telle
que :
deb http://security.debian.org/ ;/updates main contrib non-free
dans votre fichier /etc/apt/sources.list.
Pour plus d'information au sujet de la sécurité dans Debian, lisez la
FAQ de l'équipe en charge de la sécurité et le manuel appelé
manuel pour sécuriser Debian.
Annonces récentes
Ces pages web contiennent une archive condensée des annonces de sécurité qui
sont postées sur la liste de diffusion
http://lists.debian.org/debian-security-announce/";>\
debian-security-announce.
<:= get_recent_list( '1m', '6', '$(ENGLISHDIR)/security', 'list bydate', 'dsa-\d+' ) :>
{#rss#:
:#rss#}
Les dernières informations de sécurité sont aussi disponibles au
format RDF. Nous vous permettons également d'avoir un
second fichier qui contient le premier paragraphe
de l'alerte en question. Ainsi vous pourrez savoir de quoi traite le bulletin
d'alerte.
Les annonces de sécurité plus anciennes sont également disponibles :
<:
for ($year = $(CUR_YEAR); $year >= 1997; $year --)
{
print qq' Annonces de sécurité annoncées en $year\n'
if -d "$(ENGLISHDIR)/security/$year";
}
:>
Annonces de sécurités non datées, conservées pour
la postérité.
Les distributions Debian ne sont pas vulnérables à tous les problèmes de
sécurité :
Woody (Debian 3.0) ;
Sarge (Debian 3.1).
Contacts
Veuillez lire la FAQ de l'équipe en charge de la sécurité
avant de nous conctacter, vos questions pourraient peut être d'ores et déjà y
trouver réponse !
Les informations nécessaires pour prendre contact se
trouvent également dans la FAQ.
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[LCFC] webwml://security/audit/tools.wml
Le jeudi 27 janvier 2005 à 11:14 +0100, CHAROLOIS Raphaël a écrit : > Il reste un "scanner" : comment est-ce traduit d'habitude ? J'ai remplacé "scannant" par "parcourant" ça passe mieux. En revanche, je n'ai rien à proposer pour le substantif "scanner". Merci à Raphaël CHAROLOIS et Philippe Grenard pour leurs relectures. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.13" maintainer="DFS Task Force" #use wml::debian::template title="Outils d'audit de sécurité" #use wml::debian::recent_list Plusieurs paquets disponibles dans l'archive Debian sont destinés à faciliter les audits de code source. Sont inclus : http://packages.debian.org/flawfinder";>Flawfinder Exemple d'utilisation de flawfinder http://packages.debian.org/its4";>ITS4 Il n'y a pas d'exemple fourni pour ITS4 puisque celui-ci a été enlevé de la distribution instable (Sid). http://packages.debian.org/rats";>RATS Exemple d'utilisation de RATS http://packages.debian.org/pscan";>pscan Exemple d'utilisation de pscan Aucun de ces outils n'est parfait. Ils ne peuvent être utilisés que comme point de départ pour des études plus poussées. Mais étant donné leur simplicité d'utilisation, cela vaut le coup de passer du temps à les essayer. Chaque outil a ses avantages et ses inconvénients. C'est pourquoi il est recommandé d'en utiliser plus d'un. Flawfinder flawfinder est un outil codé en Python destiné à analyser du code source C et C++ à la recherche de défauts de sécurité potentiels. Lorsqu'il est exécuté dans un répertoire contenant du code source, la liste des problèmes potentiels détectés est générée, triés par risque (où la variable risk est un entier entre 1 et 5). Pour ignorer les risques mineurs, il est possible de configurer le programme pour de ne pas lister les défauts en dessous d'un certain niveau de risque. Par défaut, la sortie sera formatée en texte brut, mais une sortie au format HTML est également disponible. Le programme fonctionne en parcourant le code à la recherche de fonctions connues pour être couramment mal utilisées. Afin de faciliter la lecture du rapport, il est possible de générer un rapport contenant la ligne du code source, contenant la fonction utilisée. Cela peut être utile pour détecter immédiatement un problème, ou également l'éliminer. Vous pouvez voir un exemple de la façon dont est utilisé flawfinder, ainsi que le rapport qu'il génère dans la section des exemples d'audit. ITS4 ITS4 est un outil appartenant à la section non-free de l'archive Debian, qui est disponible uniquement pour l'actuelle distribution stable (Woody). ITS4 peut être utilisé pour chercher dans du code source C et C++ de potentielles failles de sécurité, de même que flawfinder. Le rapport généré essaie d'être pertinent, en exluant une partie des cas où les appels à des fonctions dangereuses ont été faits avec précaution. RATS RATS est un outil similaire à ceux listés ci-dessus, excepté qu'il supporte plus de langages. Actuellement sont supportés C, C++, Perl, PHP et Python. Cet outil utilise un simple fichier XML pour obtenir les vulnérabilités, ce qui en fait l'outil le plus simple à modifier. De nouvelles fonctions peuvent être ajoutées facilement pour chaque langage supporté. Vous pouvez voir un exemple d'utilisation de RATS et le rapport généré dans la section des exemples d'audit. pscan pscan diffère des outils précédemment décrits, car ce n'est pas du tout un scanner généraliste. Au contraire, c'est un programme qui vise spécifiquement la détection de bogues dans le format des chaînes de caractères. L'outil essaiera de trouver des problèmes potentiels dans l'utilisation des fonctions variadiques (pouvant accepter un nombre variable d'arguments) dans du code C et C++, par exemple les fonctions printf, fprintf et syslog. Les bogues de format des chaînes de caractères sont facilement détectables et réparables. Ainsi, bien qu'ils constituent la nouvelle génération d'attaques logicielles, la majorité d'entre eux ont sans doute déjà été trouvés et corrigés. Vous pouvez voir un exemple d'utilisation de pscan et le rapport généré dans la section des exemples d'audit. Comprendre les résultats du scanner Chaque tous les outils généralistes de recherche fournissent des résultats incluant la description du défaut détecté, et dans certains cas un conseil pour corriger le code. Par exemple, ce qui suit est tiré du rapport généré par RATS et décrit les dangers de getenv : "Les variables d'environnement sont des paramètres d'entrée auxquels on ne peut pas faire confiance. Ils peuvent être de toute taille, et contenir n'importe quelles données. Ne faite
[LCFC2] webwml://security/index.wml
Le jeudi 27 janvier 2005 à 11:29 +0100, Raphaël Charolois a écrit :
> J'ai corrigé le "peut être" en "peut-être", mais j'avoue ne pas être
> certain à 100%.
Merci Raphaël pour ta correction.
--
Simon Paillard <[EMAIL PROTECTED]>
#use wml::debian::template title="Informations de sécurité" GEN_TIME="yes"
#use wml::debian::recent_list
#include "$(ENGLISHDIR)/releases/info"
#use wml::debian::translation-check translation="1.76" maintainer="DFS Task Force"
Debian prend les questions de sécurité très au sérieux. La plupart des
problèmes de sécurité qui nous sont reportés sont corrigés sous 48 heures.
L'expérience a montré que « la sécurité par le secret » ne
fonctionne pas. Une diffusion publique des problèmes de sécurité apporte plus
rapidement des solutions meilleures. Dans cet esprit, cette page indique l'état
de Debian sur différents trous de sécurité connus, qui pourraient
potentiellement affecter Debian.
Debian participe aussi aux efforts de standardisation de sécurité : les
annonces de sécurité Debian (Debian Security
Advisories) sont compatibles avec le CVE
(référez-vous aux renvois croisés) et Debian est représentée dans le comité du
projet « http://oval.mitre.org/";>Open Vulnerability Assessment
Language ».
Garder un système Debian sûr
Pour obtenir les dernières informations de sécurité de Debian,
abonnez-vous à la liste de diffusion (en anglais)
http://lists.debian.org/debian-security-announce/";>\
debian-security-announce.
Il est pratique d'utiliser
http://packages.debian.org/stable/base/apt";>apt pour récupérer les
mises à jour relatives à la sécurité. Cela nécessite une ligne telle
que :
deb http://security.debian.org/ ;/updates main contrib non-free
dans votre fichier /etc/apt/sources.list.
Pour plus d'information au sujet de la sécurité dans Debian, lisez la
FAQ de l'équipe en charge de la sécurité et le manuel appelé
manuel pour sécuriser Debian.
Annonces récentes
Ces pages web contiennent une archive condensée des annonces de sécurité qui
sont postées sur la liste de diffusion
http://lists.debian.org/debian-security-announce/";>\
debian-security-announce.
<:= get_recent_list( '1m', '6', '$(ENGLISHDIR)/security', 'list bydate', 'dsa-\d+' ) :>
{#rss#:
:#rss#}
Les dernières informations de sécurité sont aussi disponibles au
format RDF. Nous vous permettons également d'avoir un
second fichier qui contient le premier paragraphe
de l'alerte en question. Ainsi vous pourrez savoir de quoi traite le bulletin
d'alerte.
Les annonces de sécurité plus anciennes sont également disponibles :
<:
for ($year = $(CUR_YEAR); $year >= 1997; $year --)
{
print qq' Annonces de sécurité annoncées en $year\n'
if -d "$(ENGLISHDIR)/security/$year";
}
:>
Annonces de sécurités non datées, conservées pour
la postérité.
Les distributions Debian ne sont pas vulnérables à tous les problèmes de
sécurité :
Woody (Debian 3.0) ;
Sarge (Debian 3.1).
Contacts
Veuillez lire la FAQ de l'équipe en charge de la sécurité
avant de nous conctacter, vos questions pourraient peut-être d'ores et déjà y
trouver réponse !
Les informations nécessaires pour prendre contact se
trouvent également dans la FAQ.
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/2004/{CAN-2004-0077,CAN-2004-0109,dsa-507,dsa-541,dsa-559}.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[LCFC] webwml://security/2005/{dsa-627,dsa-628}.wml
Le samedi 22 janvier 2005 à 16:16 +0100, Thomas Huriaux a écrit : > Une relecture. Merci Thomas pour ta relecture. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Entrée non vérifiée Une vulnérabilité sur les éléments dynamiques (cross site scripting) a été découverte dans namazu2, un moteur de recherche totalement en mode texte. Un attaquant pouvait préparer des paramètres d'entrée spécialement conçus qui n'auraient pas été vérifiés par namazu2, et ainsi affichés tels quels à la victime. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 2.0.10-1woody3. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 2.0.14-1. Nous vous recommandons de mettre à jour votre paquet namazu2. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-627.data" # $Id: dsa-627.wml,v 1.1 2005/01/22 14:06:11 thuriaux Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Dépassements d'entier Pavel Kankovsky a découvert que de nombreux dépassements trouvés dans la bibliothèque libXpm étaient également présents dans imlib et imlib2, des bibliothèques de traitement d'image pour X et X11. Un attaquant pouvait exécuter un code arbitraire sur la machine victime si celle-ci ouvrait une image malveillante dans une application utilisant imlib ou imlib2. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1025";>CAN-2004-1025 Multiples dépassements de pile mémoire. Le code de imlib2 n'est pas affecté. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1026";>CAN-2004-1026 Multiples dépassements d'entier dans la bibliothèque imlib. Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.0.5-2woody2. Pour la distribution instable (Sid), ces problèmes seront bientôt corrigés. Nous vous recommandons de mettre à jour vos paquets imlib2. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-628.data" # $Id: dsa-628.wml,v 1.1 2005/01/22 14:06:11 thuriaux Exp $ signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[ITT] webwml://security/2005/dsa-{655,656,657,658,659,660,661}.wml
Je vais traduire ces dernières DSA parues. -- Simon Paillard -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [LCFC] webwml://security/index.wml
Selon Thomas Huriaux <[EMAIL PROTECTED]>: > Frédéric Bothamy <[EMAIL PROTECTED]> (27/01/2005): > > Si, si, tu as tout à fait raison, c'est une erreur malheureusement > > trop fréquente. [...] > vote/1999/vote_0002.wml: version modifiée peut être utilisés par > quiconque voulant se référer au > vote/1999/vote_0002.wml: Ce logo ou une version modifiée peut être > utilisés par quiconque > > Le premier est la même phrase que le second. > J'hésite entre le "peuvent être utilisés" et le "peut être utilisé" J'utiliserais le pluriel, car au niveau du sens, l'utilisation de "et" serait également valable (il ne s'agit pas d'un "ou exclusif"). -- Simon Paillard -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
[RFR] webwml://security/2005/dsa-{655,656,657,658,659,660,661}.wml
Selon [EMAIL PROTECTED]: > Je vais traduire ces dernières DSA parues. Pour le 655 (console CJK), c'est un peu du chinois pour moi :) J'ai une petit doute pour le 659, qui parle de "integer underflow". J'ai traduit par dépassement d'entier par le bas. Merci d'avance aux relecteurs. -- Simon Paillard#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Abandon des privilèges manquant Erik Sjölund a découvert que zhcon, un système de console CJK rapide utilisant le framebuffer, accédait avec des droits à un fichier de configuration contrôlé par un utilisateur. Il était ainsi possible de libre des fichiers arbitraires. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.2-4woody3. Pour la distribution instable (Sid), ce problème sera bientôt corrigé. Nous vous recommandons de mettre à jour votre paquet zhcon. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-655.data" # $Id: dsa-655.wml,v 1.1 2005/01/25 11:01:11 joey Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Accès non sécurisé aux fichiers Javier Fernández-Sanguino Peña du projet d'audit de sécurité de Debian a découvert que le démon vdr, qui est utilisé pour l'enregistrement de vidéo depuis des cartes DVB, pouvait écraser des fichiers arbitraires. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 1.0.0-1woody2. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.2.6-6. Nous vous recommandons de mettre à jour votre paquet vdr. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-656.data" # $Id: dsa-656.wml,v 1.1 2005/01/25 12:10:49 joey Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Dépassement de tampon Un dépassement de pile a été découvert dans le décodeur DVD de sous-image de xine-lib. Un attaquant pouvait faire exécuter du code arbitraire à la machine de la victime en lui soumettant un fichier MPEG malicieux. En rusant les utilisateurs pour qu'ils lisent un flux malicieux à travers un réseau, l'attaque devient exploitable à distance. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.9.8-2woody2. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1-rc6a-1. Nous vous recommandons de mettre à jour vos paquets libxine. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-657.data" # $Id: dsa-657.wml,v 1.1 2005/01/25 14:21:47 joey Exp $ #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Fichier temporaire non sécurisé Javier Fernández-Sanguino Peña du projet d'audit de sécurité de Debian a découvert que la bibliothèque DBI, l'interface Perl5 pour les bases de données, créait un fichier PID temporaire d'une manière non sûre. Cela pouvait être exploité par un utilisateur malveillant pour écraser arbitrairement des fichiers appartenant à la personne qui exécute des parties de la bibliothèque. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 1.21-2woody2. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.46-6. Nous vous recommandons de mettre à jour votre paquet libdbi-perl. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-658.data" # $Id: dsa-658.wml,v 1.2 2005/01/25 16:50:34 peterk Exp $ #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Fuite d'informations, dépassement d'entier par le bas Deux problèmes ont été découverts dans le paquet libpam-radius-auth, le module d'authentification RADIUS pour PAM. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1340";>CAN-2004-1340 Le paquet Debian installait accidentellement son fichier de configuration /etc/pam_radius_auth.conf lisible par tous. Si celui-ci contenait des informations sensibles, tous les utilisateurs locaux étaient capables de les lire, sauf si l'administrateur avait ajusté les permissions des fichiers. Ce problème était spécifique à Debian. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0108";>CAN-2005-0108 Leon Juranic a découvert un dépassement d'entier par le bas dans le module mod_auth_radius pour Apache, également présent dans libpam-radius-auth. Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.3.14-1.3. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.3.
[DONE] webwml://security/2005/{dsa-627,dsa-628}.wml
Done pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/2004/dsa-608.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/2004/dsa-604.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/2004/dsa-574.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/2004/dsa-606.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/2004/dsa-615.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/2005/{dsa-622,dsa-623,dsa-625,dsa-626}.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/index.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/audit/tools.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[LCFC] webwml://security/2005/dsa-{655,656,657,658,659,660,661}.wml
Le vendredi 28 janvier 2005 à 17:48 +0100, CHAROLOIS Raphaël a écrit : > J'ai mis un 's' à vidéos (dsa 656) car c'est un nom mais Pivot nous a > rappelé les règles récemment dans ce cas : j'ai déjà oublié :( J'hésite également, si quelqu'un a un avis là-dessus :) Merci Raphaël pour tes relectures. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Abandon des privilèges manquant Erik Sjölund a découvert que zhcon, un système de console CJK rapide utilisant le framebuffer, accédait avec des droits à un fichier de configuration contrôlé par un utilisateur. Il était ainsi possible de lire des fichiers arbitraires. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.2-4woody3. Pour la distribution instable (Sid), ce problème sera bientôt corrigé. Nous vous recommandons de mettre à jour votre paquet zhcon. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-655.data" # $Id: dsa-655.wml,v 1.1 2005/01/28 16:17:49 thuriaux Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Accès non sécurisé aux fichiers Javier Fernández-Sanguino Peña du projet d'audit de sécurité de Debian a découvert que le démon vdr, qui est utilisé pour l'enregistrement de vidéos depuis des cartes DVB, pouvait écraser des fichiers arbitraires. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 1.0.0-1woody2. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.2.6-6. Nous vous recommandons de mettre à jour votre paquet vdr. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-656.data" # $Id: dsa-656.wml,v 1.1 2005/01/28 16:17:50 thuriaux Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Manque de vérification de la valeur de retour Raphaël Enrici a découvert que l'économiseur d'écran de KDE pouvait s'interrompre dans certaines circonstances locales. Cela peut être exploité par un attaquant disposant d'un accès physique à la machine, pour prendre le contrôle de la session en cours. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 2.2.2-14.9. Ce problème a été corrigé en amont dans KDE 3.0.5. Il est ainsi déjà corrigé dans la distribution instable (Sid) et dans l'actuelle distribution de test (Sarge). Nous vous recommandons de mettre à jour votre paquet kscreensaver. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-660.data" # $Id: dsa-660.wml,v 1.1 2005/01/28 16:17:50 thuriaux Exp $ #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Fichiers temporaires non sécurisés Javier Fernández-Sanguino Peña du projet d'audit de sécurité de Debian a découvert que f2c et fc, faisant tous les deux partie du paquet f2c, un traducteur fortran77 vers C/C++, ouvraient les fichiers temporaires de manière non sûre. Ils étaient ainsi vulnérables à une attaque par lien symbolique. Le projet « Common Vulnerabilities and Exposures » a identifié les vulnérabilités suivantes : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0017";>CAN-2005-0017 Multiples fichiers temporaires non sécurisés dans le traducteur f2c. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0018";>CAN-2005-0018 Deux fichiers temporaires non sécurisés dans le script shell f2. Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 20010821-3.1. Pour la distribution instable (Sid), ces problèmes seront bientôt corrigés. Nous vous recommandons de mettre à jour votre paquet f2c. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-661.data" # $Id: dsa-661.wml,v 1.2 2005/01/31 19:41:52 toddy Exp $ signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[LCFC2] webwml://security/2005/dsa-655.wml
Le mardi 01 février 2005 à 18:33 +0100, Olivier Trichet a écrit : > > dsa-655.wml > > > > Erik Sjölund a découvert que zhcon, un système de console CJK rapide > > utilisant le framebuffer, accédait avec des droits à un fichier de > > avec des droits élevés à un fichier de > > voire, mettre "trop élevés" Merci pour ta correction. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Abandon des privilèges manquant Erik Sjölund a découvert que zhcon, un système de console CJK rapide utilisant le framebuffer, accédait avec des droits trop élevés à un fichier de configuration contrôlé par un utilisateur. Il était ainsi possible de lire des fichiers arbitraires. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.2-4woody3. Pour la distribution instable (Sid), ce problème sera bientôt corrigé. Nous vous recommandons de mettre à jour votre paquet zhcon. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-655.data" # $Id: dsa-655.wml,v 1.1 2005/01/28 16:17:49 thuriaux Exp $ signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[LCFC] webwml://security/2004/dsa-495.wml
Synchronisation du n° de version. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.5" maintainer="DFS Task Force" Plusieurs vulnérabilités Plusieurs problèmes sérieux ont été découverts dans le noyau Linux. Cette mise à jour prend en compte le noyau Linux 2.4.16 pour l'architecture ARM. Le projet Common Vulnerabilities and Exposures a identifié les problèmes suivants, qui sont corrigés avec cette mise à jour : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0127";>CAN-2003-0127 Le chargeur de modules du noyau permet à un utilisateur local d'obtenir les privilèges du superutilisateur en utilisant ptrace pour attacher un processus fils qui est reproduit par le noyau. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0003";>CAN-2004-0003 Une vulnérabilité a été découverte dans le pilote DRI R128 dans le noyau Linux, qui pourrait potentiellement permettre à un attaquant d'obtenir des privilèges non autorisés. Alan Cox et Thomas Biege ont développé une correctif pour cela. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0010";>CAN-2004-0010 Arjan van de Ven a découvert un dépassement de pile dans la fonction ncp_lookup pour ncpfs dans le noyau Linux, qui peut permettre à un attaquant d'obtenir des privilèges non autorisés. Petr Vandrovec a développé un correctif pour cela. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0109";>CAN-2004-0109 zen-parse a découvert un dépassement de tampon dans le système de fichier ISO9660 du noyau Linux, qui peut être utilisé par un attaquant pour obtenir un accès superutilisateur non autorisé. Sebastian Krahmer et Ernie Petrides ont développé un correctif pour cela. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0177";>CAN-2004-0177 Solar Designer a découvert une fuite de données dans le code ext3 de Linux. Dans le pire des cas, un attaquant pourrait lire des données sensibles comme les clés cryptographiques, qui ne toucheraient autrement jamais les médias de type CD-Rom. Theodore Ts'o a développé un correctif pour cela. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0178";>CAN-2004-0178 Andreas Kies a découvert une situation de déni de service dans le pilote Sound Blaster de Linux. Il a également développé un correctif pour cela. Ces problèmes sont également corrigés dans la version amont de Linux 2.4.26 et le seront bientôt dans Linux 2.6.6. La matrice de sécurité suivante explique quelles version du noyau, pour quelles architectures, sont déjà corrigées ou seront retirées. Architecture Stable (Woody) Instable (Sid) source 2.4.16-1woody2 2.4.25-3 arm/patch 20040419 20040316 arm/lart 20040419 2.4.25-4 arm/netwinder 20040419 2.4.25-4 arm/riscpc 20040419 2.4.25-4 Nous vous recommandons de mettre à jour vos paquets du noyau immédiatement, soit avec le noyau fourni par Debian, soit en en compilant un. Matrice de vulnérabilité pour l'entrée CAN-2004-0109 # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-495.data" # $Id: dsa-495.wml,v 1.1 2005/02/01 17:22:10 thuriaux Exp $ signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[RFR] webwml://security/{faq,2004/dsa-465}.wml
Quelques pages mises à jour. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force" Plusieurs vulnérabilités Deux vulnérabilités ont été découvertes dans openssl, une implémentation du protocole SSL, qui utilise l'outil de test TLS de Codenomicon. Vous trouverez plus d'informations sur ce http://www.uniras.gov.uk/vuls/2004/224012/index.htm";>bulletin de vulnérabilité de NISCC et ce http://www.openssl.org/news/secadv_20040317.txt";>bulletin d'OpenSSL. Le projet Common Vulnerabilities and Exposures a identifié les vulnérabilités suivantes : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0079";>CAN-2004-0079 Affectation d'un pointeur nul dans la fonction do_change_cipher_spec(). Un attaquant à distance pourrait créer un lancement de connexion spécial à un serveur qui utilise la bibliothèque OpenSSL de manière à causer le plantage de OpenSSL. En fonction de l'application, cela pourrait conduire à un déni de service. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0081";>CAN-2004-0081 Un bogue dans les anciennes versions de OpenSSL 0.9.6 peuvent conduire à une attaque par déni de service (boucle infinie). Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 0.9.6c-2.woody.6 d'openssl, dans la version version 0.9.4-6.woody.4 d'openssl094 et dans la version 0.9.5a-6.woody.5 d'openssl095. Pour la distribution instable (Sid), ces problèmes seront bientôt corrigés. Nous vous recommandons de mettre à jour votre paquet openssl. # do not modify the following line #include "$(ENGLISHDIR)/security/2004/dsa-465.data" # $Id: dsa-465.wml,v 1.3 2004/03/18 08:27:57 kaare Exp $ #use wml::debian::template title="FAQ de l'équipe Debian sur la sécurité" #use wml::debian::translation-check translation="1.46" maintainer="DFS Task Force" #include "$(ENGLISHDIR)/security/faq.inc" # $Id: faq.wml,v 1.46 2005/01/31 18:51:24 djpig Exp $ Ces derniers jours, nous avons reçu un peu trop souvent des questions identiques, et avons donc décidé d'écrire cette page pour y répondre globalement. La signature sur vos avis de sécurité ne semble pas authentique ! Réponse : il s'agit très certainement d'un problème de votre part. La liste http://lists.debian.org/debian-security-announce/";>\ debian-security-announce a un filtre qui n'autorise que les messages avec une signature valide d'un des membres de l'équipe chargée de la sécurité. Un de vos outils de messagerie doit légèrement modifier le message, ce qui corrompt la signature. Vérifiez que vos logiciels ne font pas d'encodage/décodage sur les types MIME, ou de substitutions entre espaces et tabulations. Les coupables habituels sont fetchmail (avec l'option mimedecode activée), formail (venant de procmail 3.14 seulement) et Evolution. Comment s'occupe-t-on de la sécurité dans Debian ? R. : une fois que l'équipe en charge de la sécurité reçoit notification d'un incident, un ou plusieurs de ses membres examinent la situation et en mesurent l'impact sur la version stable de Debian (i.e. si elle est vulnérable ou non). Si notre système est vulnérable, nous élaborons une correction au problème. Le responsable du paquet est lui aussi contacté, s'il n'a pas déjà contacté l'équipe en charge de la sécurité. Enfin, la correction est testée et de nouveaux paquets sont préparés ; ces paquets sont compilés sur toutes les architectures stables et ensuite mis en téléchargement. Après toutes ces étapes, un rapport est publié. Pourquoi vous cassez-vous la tête avec une vieille version de ce paquet ? R. : la règle la plus importante lorsque l'on construit un nouveau paquet qui corrige un problème de sécurité est de faire le moins de changements possibles. Nos utilisateurs et nos développeurs s'attendent à ce que la distribution conserve son comportement d'origine, aussi n'importe quel changement que nous faisons peut éventuellement casser le système de quelqu'un. C'est particulièrement vrai dans le cadre des bibliothèques : assurez-vous de ne jamais changer l'interface de programmation du programme (API) ou l'interface binaire de l'application (ABI : Application Binary Interface), aussi petite soit la modification. Cela signifie que changer pour une version plus récente n'est pas une bonne solution, au lieu de cela la modification doit être rétroportée. En règle générale les auteurs donnent un coup de main, sinon l'équipe en charge de la sécurité devrait être capable de s'en charger. Dans des cas particuliers il n'est pas possible de rétroporter une rustine de sécu
[RFR] webwml://security/2005/dsa-{662,663}.wml
Les deux dernières DSA. Merci d'avance aux relecteurs. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Plusieurs vulnérabilités Plusieurs vulnérabilités ont été découvertes dans Squirremail, une interface web pour le courrier électronique, couramment utilisée. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0104";>CAN-2005-0104 Les développeurs en amont ont remarqué qu'une variable non sécurisée permettait les attaques de script sur les éléments dynamiques. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0152";>CAN-2005-0152 Grant Hollingworth a découvert que la manipulation dans certaines circonstances de liens permettait l'exécution de code arbitraire avec les droits de www-data. Ce problème n'est présent que dans la version 1.2.6 de Squirrelmail. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 1.2.6-2. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.4.4-1. Nous vous recommandons de mettre à jour votre paquet squirrelmail. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-662.data" # $Id: dsa-662.wml,v 1.1 2005/02/01 14:45:47 joey Exp $ #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Dépassements de tampon Plusieurs dépassements de tampon ont été découverts dans prozilla, un accélérateur de téléchargement traitant les requêtes en parallèle. Un attaquant distant pouvait exécuter un code arbitraire sur la machine de la victime. Il existe déjà une exploitation de prozilla dans la nature. Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.3.6-3woody1. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.3.7.3-1. Nous vous recommandons de mettre à jour votre paquet prozilla. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-663.data" # $Id: dsa-663.wml,v 1.2 2005/02/01 16:38:56 toddy Exp $ signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
Re: [rfr] wml://www.debian.org/events/2005/0311-itlinuxdays.wml
Selon Thomas Huriaux <[EMAIL PROTECTED]>: > Le dernier events paru. > Merci d'avance pour vos relectures. -qui recontre le plus de succès en Allemagne, grâce à sa position rapprochée +qui recontre le plus de succès en Allemagne, grâce à sa proximité -et à source ouvert et à leurs entreprises. +et à code source ouvert et à leurs entreprises. -- Simon Paillard -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [rfr3] wml://www.debian.org/events/2005/0226-fosdem.wml
Selon Thomas Huriaux <[EMAIL PROTECTED]>: > Rajout d'un nouveau lien. > Merci d'avance pour vos relectures. Le projet Debian aura une salle pour les développeurs et un http://lists.debian.org/debian-project/2004/10/msg00062.html";>appel -pour des articles a été lancé. Debian tiendra également un stand. +à contribution a été lancé. Debian tiendra également un stand. -Le programme est désormais final ; tous les exposés additionnels +Le programme est désormais finalisé ; tous les exposés additionnels Ensuite, une question de goût : -FOSDEM (Free and Open Source Developers European Meeting) est +Le FOSDEM (Free and Open Source Developers European Meeting) est http://www.fosdem.org/2005/index/dev_room_debian/schedule";>site web -de FOSDEM +du FOSDEM -- Simon Paillard -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
[RFR] webwml://security/2005/dsa-664.wml
La dernière DSA. Merci d'avance aux relecteurs. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Mauvaises permissions de fichiers Il a été découvert que cpio, un programme pour gérer des archives de fichiers, créait des fichiers de sortie avec les options -O et -F dotés de mauvaises permissions, à cause d'une mise à zéro de la variable umask. Cela permettait aux utilisateurs locaux de lire ou d'écraser ses fichiers. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 2.4.2-39woody1 Pour la distribution instable (Sid), ce problème sera bientôt corrigé. Nous vous recommandons de mettre à jour votre paquet cpio. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-664.data" # $Id: dsa-664.wml,v 1.1 2005/02/02 16:58:40 joey Exp $ signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[DONE] webwml://security/2005/dsa-{655,656,657,658,659,660,661}.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[RFR] webwml://security/2005/{dsa-665,dsa-666}.wml
Deux DSA. Dans dsa-666, j'ai gardé l'appellation « testing » dans le tableau. Merci d'avances pour vos relectures. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Abandon des privilèges manquant Erik Sjölund a découvert plusieurs bogues dans ncpfs, qui fournit plusieurs outils pour utiliser les ressources de serveurs NetWare. Un de ces bogues touche la distribution Debian stable. Le programme accède à un fichier de configuration avec les droits de superutilisateur, sans vérification particulière. Il est ainsi possible de lire des fichiers arbitraires. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 2.2.0.18-10woody2. Pour la distribution instable (Sid), ce problème sera bientôt corrigé. Nous vous recommandons de mettre à jour votre paquet ncpfs. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-665.data" # $Id: dsa-665.wml,v 1.1 2005/02/04 10:24:42 joey Exp $ #use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force" Défaut de conception L'équipe de développement de Python a découvert un défaut dans son paquet principal. Le module de la bibliothèque SimpleXMLRPCServer pouvait permettre aux attaquants distants d'accéder au contenu de l'objet enregistré, ou à son module, ou même à d'autres modules. Le défaut touche uniquement les serveurs XML-RPC en Python qui utilisent la méthode register_instance() pour enregistrer un objet sans une méthode du type _dispatch(). Les serveurs utilisant uniquement register_function() ne sont pas touchés. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 2.2.1-4.7. Aucune autre version de Python présente dans Woody n'est touchée. Pour les distributions de test (Sarge) et instable (Sid), le tableau suivant explique pour chaque version touchée quelle version contiendra la correction : testing instable Python 2.2 2.2.3-14 2.2.3-14 Python 2.3 2.3.4-20 2.3.4+2.3.5c1-2 Python 2.4 2.4-5 2.4-5 Nous vous recommandons de mettre à jour vos paquets Python. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-666.data" # $Id: dsa-666.wml,v 1.3 2005/02/09 21:24:16 toddy Exp $ signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
[RFR] webwml://security/2005/dsa-661.wml
Bonjour, Suite à la mise à jour de l'annonce 661, voici le nouveau fichier. Merci d'avance aux relecteurs. -- Simon Paillard #use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force" Fichiers temporaires non sécurisés Dan McMahill a remarqué que l'annonce de sécurité DSA 661-1 ne corrigeait pas les multiples problèmes de fichiers non sécurisés, d'où cette mise à jour. Voici l'intégralité du bulletin officiel : Javier Fernández-Sanguino Peña du projet d'audit de sécurité de Debian a découvert que f2c et fc, faisant tous les deux partie du paquet f2c, un traducteur fortran77 vers C/C++, ouvraient les fichiers temporaires de manière non sûre. Ils étaient ainsi vulnérables à une attaque par lien symbolique. Le projet « Common Vulnerabilities and Exposures » a identifié les vulnérabilités suivantes : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0017";>CAN-2005-0017 Multiples fichiers temporaires non sécurisés dans le traducteur f2c. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0018";>CAN-2005-0018 Deux fichiers temporaires non sécurisés dans le script shell f2. Pour l'actuelle distribution stable (Woody) ainsi que toutes les autres distributions dont celle de test (Testing), ce problème a été corrigé dans la version 20010821-3.2. Nous vous recommandons de mettre à jour votre paquet f2c. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-661.data" # $Id: dsa-661.wml,v 1.3 2005/04/20 15:03:58 toddy Exp $
[RFR] webwml://security/2005/dsa-713.wml
Bonjour, Voici la dernière annonce de sécurité, dsa-713. Merci d'avance aux relecteurs. -- Simon Paillard #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Plusieurs vulnérabilités Plusieurs bogues ont été trouvés dans junkbuster, un mandataire et un filtre HTTP. Le projet « Common Vulnerabilities and Exposures » a identifié les vulnérabilités suivantes : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1108";>CAN-2005-1108 James Ranson a découvert qu'un attaquant pouvait modifier le paramètre de référant en utilisant une adresse (URL) malveillante écrasant accidentellement une variable globale. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1109";>CAN-2005-1109 Tavis Ormandy de l'équipe de sécurité de Gentoo a découvert plusieurs corruptions de pile causées par l'usage inconsistant d'une fonction externe pouvant interrompre le démon ou peut-être permettre l'exécution de code arbitraire. Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 2.0.2-0.2woody1. La distribution instable (Sid) ne contient plus le paquet junkbuster. Nous vous recommandons de mettre à jour votre paquet junkbuster. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-713.data" # $Id: dsa-713.wml,v 1.1 2005/04/21 14:36:03 joey Exp $
[ITT] webwml://security/audit/faq
Je prends. -- Simon Paillard -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
[DONE] webwml://security/2005/{dsa-704,dsa-705}.wml
Le lundi 18 avril 2005 à 00:02 +0200, Simon Paillard a écrit : > Le mercredi 13 avril 2005 à 09:44 +0200, Fabrice Madec a écrit : > > une petite relecture > > ras sur la dsa-705 > > > > sur la dsa-704, il parle d'uptime : durée de fonctionnement > > Merci à Fabrice Madec pour sa relecture. DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/2005/dsa-706.wml
Le lundi 18 avril 2005 à 00:04 +0200, Simon Paillard a écrit : > Le mercredi 13 avril 2005 à 12:48 +0200, Frédéric Bothamy a écrit : > > * Simon Paillard <[EMAIL PROTECTED]> [2005-04-13 12:36] : > > > Voici la dernière annonce de sécurité, dsa-706. > > > > Je mettrais plutôt "un outil léger" qu'un "léger outil". > > Merci à Frédéric Bothamy pour sa relecture DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[RFR] webwml://security/2005/dsa-701.wml
Bonjour, L'annonce de sécurité 701 a été mise à jour vers 701-2. Merci d'avance pour vos relectures. -- Simon Paillard #use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force" Dépassements d'entier Il a été découvert que la dernière mise à jour de sécurité de Samba, un serveur de fichiers et d'impression similaire à LanManager conçu pour GNU/Linux et les systèmes de type Unix, provoquait une interruption du programme lors de son rechargement. Ce problème a été corrigé. Voici l'intégralité du bulletin original : Greg MacManus a découvert un dépassement d'entier dans le démon smb de Samba, un serveur de fichiers et d'impression similaire à LanManager conçu pour GNU/Linux et les systèmes de type Unix. En effectuant un grand nombre de requêtes portant sur les informations de droits d'accès, il était possible d'exploiter le dépassement d'entier, conduisant à un dépassement de tampon, et ainsi d'exécuter du code arbitraire avec les droits du superutilisateur. Les développeurs amont ont découvert encore d'autres éventuels dépassements d'entier qui sont également corrigés par cette mise à jour. Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 2.2.3a-15. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.0.10-1. Nous vous recomandons de mettre à jour vos paquets samba. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-701.data" # $Id: dsa-701.wml,v 1.3 2005/04/21 17:43:26 toddy Exp $
Re: sos
Selon aemc mesures <[EMAIL PROTECTED]>: > je voulais vous poser une question? > [...] beaucoup de problèmes > faut il tout réinstaller je parle de XP sur les 2 PC Pour éviter ces problèmes, voici plus d'informations sur la distribution Debian : http://www.debian.org/intro/about Le manuel d'installation : http://www.debian.org/releases/stable/installmanual Cette liste est dédiée à la traduction en français, vous pouvez poser vos questions sur debian sur la liste de diffusion debian-user-french. -- Simon Paillard -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
[RFR] webwml://security/audit/faq.wml
Bonjour, Voici la traduction de la page de FAQ du projet d'audit de sécurité. Merci d'avance pour les relectures. -- Simon Paillard#use wml::debian::translation-check translation="1.8" maintainer="Simon Paillard" #use wml::debian::template title="FAQ de l'audit de sécurité de Debian" #use wml::debian::toc Cette page liste les questions habituelles des visiteurs qui entendent parler de ce projet pour la première fois. Qu'est-ce que le projet d'audit de sécurité de Debian ? Le projet d'audit de sécurité de Debian est un petit projet mené au sein du projet Debian, destiné à avoir une démarche proactive vis à vis de la sécurité, en effectuant des audits du code source des paquets mis à disposition des utilisateurs de Debian. L'audit se focalise sur la distribution stable de Debian, le travail d'audit étant orienté par les recommandations sur la priorité d'audit des paquets. Quand le projet d'audit de sécurité de Debian a-t-il démarré ? La première annonce de sécurité sortit en décembre 2002, suivie par une série d'annonces supplémentaires avec le temps. Le projet continua sous forme officieuse jusqu'à qu'il soit officialisé en mai 2004 par le chef du projet Debian, Martin Michlmayr. Quelles annonces proviennent de l'effort d'audit ? Il y a eu de multiples annonces diffusées en tant que résultats du travail d'audit. Celles diffusées avant que le projet devienne officiel sont listées sur la page des annonces de l'audit de sécurité. On espère dans un futur proche que les annonces connues comme issues du projet pourront être trouvées en cherchant « Debian Security Audit Projet » dans les rapports des annonces de sécurité de Debian. Tout le travail d'audit porte sur les annonces de sécurité ? En fait non. Beaucoup de problèmes de sécurité que la procédure d'audit a trouvés ne sont pas immédiatement exploitables (cependant, ils peuvent interrompre le programme). D'autres problèmes de sécurité exploitables que nous avons trouvés ne sont pas présents dans la version stable officielle de Debian, mais dans les versions de test (Testing) ou instable (Sid). Tous ces problèmes sont remontés à travers le système de suivi des bogues de Debian (et dans certains cas directement aux développeurs amont). Vous pouvez jetter un coup d'oeil à certains des bogues que nous avons ouverts lors de la procédure d'audit. Qui a contribué à ce travail ? Steve Kemp a démarré le projet d'audit de sécurité de Debian, créant ses premières procédures, et les a testées en trouvant de nombreuses vulnérabilités. Ulf Härnhammar a rejoint le projet à ses débuts non-officiels et a trouvé plusieurs vulnérabilités qui ont été corrigées depuis. Ulf fut rapidement suivi par Jaguar et Javier Fernández-Sanguino qui ont également découvert des problèmes de sécurité significatifs. http://www.dwheeler.com";>David A. Wheeler incita Steve Kemp à proposer l'officialisation du projet comme projet Debian, ce qui fut rendu possible par l'implication du chef du projet Debian, Martin Michlmayr. David fit également de nombreuses suggestions utiles sur le contenu de ces pages, et contribua directement à plusieurs sections. L'équipe de sécurité de Debian a été très utile dans la réussite de l'audit, en s'assurant que toutes les vulnérabilités trouvées étaient rapidement corrigées et que les corrections étaient rapidement diffusées dans le monde. Les nouveaux contributeurs sont toujours les bienvenus ! Comment puis-je contribuer ? Si vous avez le temps et les compétences nécessaires pour auditer un paquet, alors lancez-vous ! La présentation de l'audit devrait vous donner une bonne idée de la manière de travailler — pour toute question supplémentaire, vous devriez la poser sur la http://shellcode.org/mailman/listinfo/debian-audit";>liste de diffusion debian-audit. Puis-je discuter de paquets spécifiques sur la liste de diffusion ? Il est préférable que vous ne nommiez pas les paquets contenant les problèmes que vous avez découverts avant qu'une DSA ne soit publiée. Cela permettrait aux utilisateurs malveillants d'exploiter les failles que vous décririez avant qu'elles soient corrigées. En revanche, la liste de diffusion peut être utilisée pour décrire un bout de code et demander des avis sur son caractère exploitable, et la manière de le corriger. Comment puis-je contribuer comme mainteneur de paquet ? Les mainteneurs de paquet peuvent aider à assurer la sécurité du logiciel qu'ils empaquettent en regardant eux-même au code, ou en demandant de l'aide. Veuillez regarder la page sur l'audit pour les mainteneurs de paquets. Comment rapporter un problème que j'ai découvert ? Une section dans la FAQ l'équipe Debian sur la sécurité décrit la procédure. La liste des paquets audités qui n'ont pas de prob
[LCFC] webwml://security/2005/dsa-710.wml
Le lundi 18 avril 2005 à 19:26 +0200, Simon Paillard a écrit : > Le lundi 18 avril 2005 à 18:50 +0200, Simon Paillard a écrit : > > Voici la dernière annonce de sécurité dsa-710 concernant gtkhtml. > > > > Merci d'avance aux relecteurs. > > La même, sans erreur de conjugaison. s/conseillons/recommandons/ Rien à signaler ? -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Déréférencement d'un pointeur nul Alan Cox a découvert un problème dans gtkhtml, un « widget » de rendu HTML utilisé par le client de courrier électronique Evolution. Certains messages mal formés pouvaient entraîner une interruption du programme à cause d'un déréférencement d'un pointeur nul. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 1.0.2-1.woody1. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.0.4-6.2. Nous vous recommandons de mettre à jour votre paquet gtkhtml et de redémarrer Evolution. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-710.data" # $Id: dsa-710.wml,v 1.2 2005/04/18 16:15:02 kaare Exp $ signature.asc Description: This is a digitally signed message part
[LCFC] webwml://security/2005/dsa-712.wml
Le mardi 19 avril 2005 à 17:23 +0200, Simon Paillard a écrit : > Voici la dernière annonce de sécurité, dsa-712, portant sur geneweb. > Merci d'avance aux relecteurs. Rien à signaler ? -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[RFR2] webwml://security/audit/faq.wml
Le vendredi 22 avril 2005 à 12:23 +0200, Nicolas Aupetit a écrit : > [EMAIL PROTECTED] a écrit : > > Voici la traduction de la page de FAQ du projet d'audit de sécurité. > > > > Merci d'avance pour les relectures. > > Voici une relecture. Merci Nicolas, j'ai tout intégré excepté ceci, car le 's' est correct : Beaucoup de problèmes de sécurité que la procédure d'audit a -trouvés ne sont pas immédiatement exploitables (cependant, ils peuvent +trouvé ne sont pas immédiatement exploitables (cependant, ils peuvent J'ai corrigé par la même occasion le n° de version qui était erroné. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.19" maintainer="Simon Paillard" #use wml::debian::template title="FAQ de l'audit de sécurité de Debian" #use wml::debian::toc Cette page liste les questions habituelles des visiteurs qui entendent parler de ce projet pour la première fois. Qu'est-ce que le projet d'audit de sécurité de Debian ? Le projet d'audit de sécurité de Debian est un petit projet mené au sein du projet Debian, destiné à avoir une démarche proactive vis à vis de la sécurité, en effectuant des audits du code source des paquets mis à disposition des utilisateurs de Debian. L'audit se focalise sur la distribution stable de Debian, le travail d'audit étant orienté par les recommandations sur la priorité d'audit des paquets. Quand le projet d'audit de sécurité de Debian a-t-il démarré ? La première annonce de sécurité est sortie en décembre 2002, suivie par une série d'annonces supplémentaires avec le temps. Le projet a continué sous forme officieuse jusqu'à ce qu'il soit officialisé en mai 2004 par le chef du projet Debian, Martin Michlmayr. Quelles annonces proviennent de l'effort d'audit ? Il y a eu de multiples annonces diffusées en tant que résultats du travail d'audit. Celles diffusées avant que le projet devienne officiel sont listées sur la page des annonces de l'audit de sécurité. On espère dans un futur proche que les annonces connues comme issues du projet pourront être trouvées en cherchant « Debian Security Audit Projet » dans les rapports des annonces de sécurité de Debian. Tout le travail d'audit porte sur les annonces de sécurité ? En fait non. Beaucoup de problèmes de sécurité que la procédure d'audit a trouvés ne sont pas immédiatement exploitables (cependant, ils peuvent interrompre le programme). D'autres problèmes de sécurité exploitables que nous avons trouvés ne sont pas présents dans la version stable officielle de Debian, mais dans les versions de test (Testing) ou instable (Sid). Tous ces problèmes sont remontés à travers le système de suivi des bogues de Debian (et dans certains cas directement aux développeurs amont). Vous pouvez jeter un coup d'oeil à certains des bogues que nous avons ouverts lors de la procédure d'audit. Qui a contribué à ce travail ? Steve Kemp a démarré le projet d'audit de sécurité de Debian, créant ses premières procédures, et les a testées en trouvant de nombreuses vulnérabilités. Ulf Härnhammar a rejoint le projet à ses débuts non-officiels et a trouvé plusieurs vulnérabilités qui ont été corrigées depuis. Ulf fut rapidement suivi par Jaguar et Javier Fernández-Sanguino qui ont également découvert des problèmes de sécurité significatifs. http://www.dwheeler.com";>David A. Wheeler incita Steve Kemp à proposer l'officialisation du projet comme projet Debian, ce qui fut rendu possible par l'implication du chef du projet Debian, Martin Michlmayr. David fit également de nombreuses suggestions utiles sur le contenu de ces pages, et contribua directement à plusieurs sections. L'équipe de sécurité de Debian a été très utile dans la réussite de l'audit, en s'assurant que toutes les vulnérabilités trouvées étaient rapidement corrigées et que les corrections étaient rapidement diffusées dans le monde. Les nouveaux contributeurs sont toujours les bienvenus ! Comment puis-je contribuer ? Si vous avez le temps et les compétences nécessaires pour auditer un paquet, alors lancez-vous ! La présentation de l'audit devrait vous donner une bonne idée de la manière de travailler — pour toute question supplémentaire, vous devriez la poser sur la http://shellcode.org/mailman/listinfo/debian-audit";>liste de diffusion debian-audit. Puis-je discuter de paquets spécifiques sur la liste de diffusion ? Il est préférable que vous ne nommiez pas les paquets contenant les problèmes que vous avez découverts avant qu'une DSA ne soit publiée. Cela permettrait aux utilisateurs malveillants d'exploiter les failles que vous décririez avant qu'elles soient corrigées. En revanche, la liste de diffusion peut être utilisée pour décrire un bout de code et demander des avi
[DONE] webwml://security/2005/dsa-711.wml
Le mardi 19 avril 2005 à 13:02 +0200, Simon Paillard a écrit : > Voici la traduction de la dernière alerte de sécurité, dsa-711, touchant > info2www. > > Merci d'avance aux relecteurs. DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[LCFC] webwml://security/2005/dsa-661.wml
Le jeudi 21 avril 2005 à 10:34 +0200, Simon Paillard a écrit : > Suite à la mise à jour de l'annonce 661, voici le nouveau fichier. > Merci d'avance aux relecteurs. Merci à Olivier Trichet pour sa relecture. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force" Fichiers temporaires non sécurisés Dan McMahill a remarqué que l'annonce de sécurité DSA 661-1 ne corrigeait pas les multiples problèmes de fichiers non sécurisés, d'où cette mise à jour. Voici l'intégralité du bulletin original : Javier Fernández-Sanguino Peña du projet d'audit de sécurité de Debian a découvert que f2c et fc, faisant tous les deux partie du paquet f2c, un traducteur fortran77 vers C/C++, ouvraient les fichiers temporaires de manière non sûre. Ils étaient ainsi vulnérables à une attaque par lien symbolique. Le projet « Common Vulnerabilities and Exposures » a identifié les vulnérabilités suivantes : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0017";>CAN-2005-0017 Multiples fichiers temporaires non sécurisés dans le traducteur f2c. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0018";>CAN-2005-0018 Deux fichiers temporaires non sécurisés dans le script shell f2. Pour l'actuelle distribution stable (Woody) ainsi que toutes les autres distributions dont celle de test (Testing), ce problème a été corrigé dans la version 20010821-3.2. Nous vous recommandons de mettre à jour votre paquet f2c. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-661.data" # $Id: dsa-661.wml,v 1.4 2005/04/21 08:39:07 thuriaux Exp $ signature.asc Description: This is a digitally signed message part
[LCFC] webwml://security/2005/dsa-713.wml
Le jeudi 21 avril 2005 à 16:59 +0200, Simon Paillard a écrit : > Voici la dernière annonce de sécurité, dsa-713. > Merci d'avance aux relecteurs. Rien à signaler ? Dernière chance pour les commentaires :) -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[LCFC] webwml://security/2005/dsa-701.wml
Le vendredi 22 avril 2005 à 12:32 +0200, Nicolas Aupetit a écrit : > [EMAIL PROTECTED] a écrit : > > L'annonce de sécurité 701 a été mise à jour vers 701-2. > > Merci d'avance pour vos relectures. > > Voici une relecture. > -Nous vous recomandons de mettre à jour vos paquets samba. > +Nous vous recommandons de mettre à jour vos paquets samba. Merci à Nicolas Aupetit pour sa relecture. Dernière chance pour d'éventuels commentaires -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force" Dépassements d'entier Il a été découvert que la dernière mise à jour de sécurité de Samba, un serveur de fichiers et d'impression similaire à LanManager conçu pour GNU/Linux et les systèmes de type Unix, provoquait une interruption du programme lors de son rechargement. Ce problème a été corrigé. Voici l'intégralité du bulletin original : Greg MacManus a découvert un dépassement d'entier dans le démon smb de Samba, un serveur de fichiers et d'impression similaire à LanManager conçu pour GNU/Linux et les systèmes de type Unix. En effectuant un grand nombre de requêtes portant sur les informations de droits d'accès, il était possible d'exploiter le dépassement d'entier, conduisant à un dépassement de tampon, et ainsi d'exécuter du code arbitraire avec les droits du superutilisateur. Les développeurs amont ont découvert encore d'autres éventuels dépassements d'entier qui sont également corrigés par cette mise à jour. Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 2.2.3a-15. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.0.10-1. Nous vous recommandons de mettre à jour vos paquets samba. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-701.data" # $Id: dsa-701.wml,v 1.2 2005/04/22 08:05:10 thuriaux Exp $ signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/audit/faq
Le jeudi 21 avril 2005 à 17:50 +0200, Simon Paillard écrit : > Je prends. DONE suite à une erreur (oubli de .wml) -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[LCFC] webwml://security/audit/faq.wml
Le vendredi 22 avril 2005 à 18:13 +0200, Simon Paillard a écrit : > Le vendredi 22 avril 2005 à 12:23 +0200, Nicolas Aupetit a écrit : > > [EMAIL PROTECTED] a écrit : > > > Voici la traduction de la page de FAQ du projet d'audit de sécurité. > > > > > > Merci d'avance pour les relectures. > > > > Voici une relecture. > > Merci Nicolas, j'ai tout intégré excepté ceci, car le 's' est correct : > > Beaucoup de problèmes de sécurité que la procédure d'audit a > -trouvés ne sont pas immédiatement exploitables (cependant, ils peuvent > +trouvé ne sont pas immédiatement exploitables (cependant, ils peuvent > > J'ai corrigé par la même occasion le n° de version qui était erroné. Dernière chance pour les commentaires -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[RFR] webwml://security/2005/dsa-714.wml
Bonjour, Voici la dernière annonce de sécurité, dsa-714. Merci d'avance aux relecteurs. -- Simon Paillard #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Plusieurs vulnérabilités L'équipe de sécurité de KDE a découvert plusieurs vulnérabilités dans la lecture par les librairies du coeur de KDE des images au format PCX et autres, certaines d'entre elles permettant d'exécuter du code arbitraire. Les paquets dans Woody sont concernés dans une moindre mesure. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 2.2.2-13.woody.14. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 3.3.2-5. Nous vous recommandons de mettre à jour vos paquets kdelibs. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-714.data" # $Id: dsa-714.wml,v 1.1 2005/04/26 15:14:20 joey Exp $
[RFR] webwml://security/2005/dsa-715.wml
Bonjour, Voici la dernière annonce de sécurité, dsa-715. Il faut s'attendre à effectuer un saut de version, car la VO a un problème de titre : several et le mail de debian-security-announce donne logiquement Vulnerabilities : several Merci d'avance aux relecteurs. -- Simon Paillard#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Plusieurs vulnérabilités Plusieurs problèmes ont été découverts dans le serveur CVS, le populaire gestionnaire de versions. Le projet « Common Vulnerabilities and Exposures » a identifié les vulnérabilités suivantes : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1342";>CAN-2004-1342 Maks Polunin et Alberto Garcia ont découvert indépendamment qu'en utilisant la méthode d'accès pserver avec la rustine « repouid » qu'utilise Debian, il était possible de passer outre la demande de mot de passe et d'avoir accès au référentiel en question. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1343";>CAN-2004-1343 Alberto Garcia a découvert qu'un utilisateur distant pouvait faire interrompre le serveur quand le fichier cvs-repouids existait mais ne contenait pas les correspondances au référentiel en cours, ce qui pouvait être utilisé comme attaque par déni de service. Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.11.1p1debian-10. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.12.9-11. Nous vous recommandons de mettre à jour votre paquet cvs. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-715.data" # $Id: dsa-715.wml,v 1.1 2005/04/27 06:00:44 joey Exp $
[RFR] webwml://security/2005/dsa-716.wml
Bonjour, Voici la traduction de l'annonce 716, touchant gaim. Merci d'avance aux relecteurs. -- Simon Paillard #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Déni de service Il a été découvert que certains paquets SNAC malformés envoyés par d'autres utilisateurs AIM ou ICQ pouvaient déclencher une boucle infinie dans Gaim, un client de messagerie instantanée multiprotocoles, et mener ainsi à un déni de service sur le client. Deux autres possibilités de déni de service ont été découvertes dans les versions récentes de Gaim. Celles-ci sont corrigées dans le paquet de la distribution instable (Sid), mais ne sont pas présentes dans le paquet de l'actuelle distribution stable (Woody). Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.58-2.5. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.1.3-1. Nous vous recommandons de mettre à jour vos paquets gaim. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-716.data" # $Id: dsa-716.wml,v 1.1 2005/04/27 08:54:41 joey Exp $
[RFR] webwml://security/2005/dsa-717.wml
Bonjour, Voici une toute nouvelle, dsa-717. Merci pour vos relectures. Je pense qu'il y a une mauvaise manip pour une partie du titre de la VO buffer overflow, typo Je laisse donc tomber "typo" -- Simon Paillard #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Dépassement de tampon Plusieurs problèmes de sécurité importants ont été découverts dans lsh, le serveur alternatif pour le protocole SSH2. Le projet « Common Vulnerabilities and Exposures » a identifié les vulnérabilités suivantes : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0826";>CAN-2003-0826 Bennett Todd a découvert un dépassement de pile dans sshd, susceptible de permettre l'exécution de code arbitraire. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0814";>CAN-2005-0814 Niels Möller a découvert une possibilité de déni de service dans lshd. Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.2.5-2woody3. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.0.1-2. Nous vous recommandons de mettre à jour votre paquet lsh-server. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-717.data" # $Id: dsa-717.wml,v 1.2 2005/04/27 10:02:06 joey Exp $
[RFR] webwml://security/2005/{dsa-718,dsa-719}.wml
Bonjour, Voici les deux dernières annonces de sécurité, 718 et 719. Dans dsa-718, j'ai traduit « the IAPP dissector of Ethereal » par extracteur, décortiqueur ou dépeceur étant un peu plus gore :) Merci d'avance pour vos relectures. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Dépassement de tampon Un dépassement de tampon a été découvert dans l'extracteur IAPP d'Ethereal, un analyseur de trafic réseau communément utilisé. Un attaquant distant pouvait provoquer un dépassement de tampon en utilisant un paquet malicieux. D'autres problèmes ont été découverts qui ne touchent pas la version dans l'actuelle distribution stable (Woody), mais sont corrigés dans la version de la distribution instable (Si). Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.9.4-1woody12. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 0.10.10-1. Nous vous recommandons de mettre à jour vos paquets ethereal. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-718.data" # $Id: dsa-718.wml,v 1.2 2005/04/28 16:10:55 toddy Exp $ #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Format de chaînes de caractères Plusieurs problèmes sur le format des chaînes de caractères ont été découverts dans prozilla, un accélérateur de téléchargement traitant les requêtes en parallèle. Ils pouvaient être exploités par un utilisateur malveillant pour exécuter du code arbitraire avec les droits de l'utilisateur lançant prozilla. Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.3.6-3woody2. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.3.7.4-1. Nous vous recommandons de mettre à jour votre paquet prozilla. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-719.data" # $Id: dsa-719.wml,v 1.1 2005/04/28 14:15:35 joey Exp $ signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/2005/dsa-710.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/2005/dsa-712.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/2005/dsa-713.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/2005/dsa-661.wml
Le dimanche 24 avril 2005 à 20:16 +0200, Simon Paillard a écrit : > Le jeudi 21 avril 2005 à 10:34 +0200, Simon Paillard a écrit : > > > Suite à la mise à jour de l'annonce 661, voici le nouveau fichier. > > Merci d'avance aux relecteurs. > > Merci à Olivier Trichet pour sa relecture. DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/2005/dsa-701.wml
Le dimanche 24 avril 2005 à 20:26 +0200, Simon Paillard a écrit : > Le vendredi 22 avril 2005 à 12:32 +0200, Nicolas Aupetit a écrit : > > [EMAIL PROTECTED] a écrit : > > > L'annonce de sécurité 701 a été mise à jour vers 701-2. > > > Merci d'avance pour vos relectures. > > > > Voici une relecture. > > -Nous vous recomandons de mettre à jour vos paquets samba. > > +Nous vous recommandons de mettre à jour vos paquets samba. > > Merci à Nicolas Aupetit pour sa relecture. > Dernière chance pour d'éventuels commentaires DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/audit/faq.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[ITT] webwml://security/audit/examples/{flawfinder,pscan}.wml
Bonjour, Je m'occupe de ces fichiers. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[RFR] webwml://security/audit/examples/{flawfinder,pscan}.wml
Le samedi 30 avril 2005 à 13:37 +0200, Simon Paillard a écrit : > Bonjour, > > Je m'occupe de ces fichiers. J'ai un doute sur la traduction de la fin de ce paragraphe : Including context information is very useful too as it can immediately attract attention to areas of concern, or rule out other reports as being invalid. L'inclusion des informations de contexte est également très utile puisqu'elle attire immédiatement l'attention sur les zones concernées, et exclue les autres rapports comme étant invalides. Merci d'avance aux relecteurs. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.4" maintainer="Simon Paillard" #use wml::debian::template title="Exemple d'audit automatisé : pscan" #use wml::debian::recent_list http://packages.debian.org/pscan";>pscan est un paquet destiné à auditer des fichiers de code source C et C++ à la recherche de vulnérabilités sur le format des chaînes de caractères. Ce n'est pas un outil d'audit à but général. Utiliser pscan Utiliser pscan revient tout simplement à l'invoquer avec le nom du ou des fichiers à vérifier. Par exemple : pscan test.c Le résultat sera directement affiché dans la console : test.c:42 SECURITY: printf call should have "%s" as argument 0 Le résultat Le résultat dans ce cas est facile à comprendre. Il a correctement identifié le fait que l'appel printf ne citait pas ses arguments correctement. Le résultat nous montre également comment corriger le problème, en changeant le code qui lit : printf( buff ); Pour lire : printf( "%s", buff ); Ne pas faire ainsi permettrait à un attaquant pouvant contrôler la sortie de ls d'attaquer le programme, en créant un fichier nommé "%s", ou similaire. Les attaques sur le format des chaînes de caractères sont traitées dans cette http://www.securityfocus.com/guest/3342";>introduction de Security Focus. Le guide http://www.dwheeler.com/secure-programs/";>Secure Programming for Linux and Unix HOWTO explique comment se protéger des attaques dans les fonctions variadiques habituelles, telles que : printf fprintf syslog Retour à la page du projet d'audit | Retour à la page des exemples d'audit #use wml::debian::translation-check translation="1.6" maintainer="Simon Paillard" #use wml::debian::template title="Exemple d'audit automatisé : flawfinder" #use wml::debian::recent_list http://packages.debian.org/flawfinder";>flawfinder est un outil généraliste pour trouver et rapporter des défauts potentiels dans du code source C et C++. Utiliser flawfinder Utiliser flawfinder est simple, cela se résume à l'invoquer avec le nom des répertoires ou des fichiers à examiner. Pour un répertoire donné, l'outil traitera tous les fichiers source qu'il trouvera dans le répertoire. En plus de la liste des fichiers ou répertoires, il existe des options de ligne de commande permettant de contrôler le comportement de l'outil. Chacune des options est expliquée dans la page du manuel, mais les options suivantes sont particulièrement utiles et seront utilisées dans notre exemple : --minlevel=X Règle à X le niveau minimum de risque d'affichage du défaut. Le niveau va de 1 à 5, 1 pour le faible risque, à 5 pour le risque élevé. --html Formate le résultat en HTML au lieu de texte simple --context Affiche le contexte, i.e., les lignes concernées par le défaut potentiel. Pour obtenir dans un fichier HTML les résultats du programme, restreints aux fonctions à haut risque, il faudrait utiliser quelque chose comme cela : flawfinder --html --context --minlevel=4 test.c > output.html Les résultats Voici les résultat du traitement par flawfinder de notre code d'exemple : Examining test.c test.c:18: [4] (buffer) strcpy: Does not check for buffer overflows when copying to destination. Consider using strncpy or strlcpy (warning, strncpy is easily misused). strcpy( dir, argv[ 1 ] ); test.c:24: [4] (buffer) sprintf: Does not check for buffer overflows. Use snprintf or vsnprintf. sprintf( dir, "%s", getenv( "HOME" ) ); test.c:33: [4] (shell) popen: This causes a new program to execute and is difficult to use safely. try using a library call that implements the same functionality if available. fp = popen( cmd, "r" ); test.c:42: [4] (format) printf: If format strings can be influenced by an attacker, they can be exploited. Use a constant for the format specification. printf( buff ); Number of hits = 4 Number of Lines Analyzed = 48 in 0.53 seconds (1392 lines/second) Comprendre les résultats De la même façon que pour RATS, ce rapport est très simple à lire. Il montre clairement quelles fonctions ont été détectées comme potentiellement dangereuses
[DONE] webwml://security/2005/dsa-714.wml
Le mardi 26 avril 2005 à 17:40 +0200, Simon Paillard a écrit : > Voici la dernière annonce de sécurité, dsa-714. > > Merci d'avance aux relecteurs. DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/2005/dsa-715.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[RFR] webwml://security/audit/tools.wml
Bonjour, Voici une relecture suite à la mise à jour de la vo (ajout d'un lien) J'ai également corrigé un problème d'accent sur une majuscule. Merci pour vos relectures. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.16" maintainer="DFS Task Force" #use wml::debian::template title="Outils d'audit de sécurité" #use wml::debian::recent_list Plusieurs paquets disponibles dans l'archive Debian sont destinés à faciliter les audits de code source. Sont inclus : http://packages.debian.org/flawfinder";>Flawfinder Exemple d'utilisation de flawfinder http://packages.debian.org/its4";>ITS4 Il n'y a pas d'exemple fourni pour ITS4 puisque celui-ci a été enlevé de la distribution instable (Sid). http://packages.debian.org/rats";>RATS Exemple d'utilisation de RATS http://packages.debian.org/pscan";>pscan Exemple d'utilisation de pscan Max Vozeler a écrit un ensemble de modules perl pour quelques uns de ces outils, qui pourrait vous être utile si vous vous intéressez à l'audit automatique des performances. Vous pouvez trouver tous ces modules sur sa page http://hinterhof.net/~max/audit-perl/";>Audit::Source. De plus, il existe d'autres outils spécifiques à un domaine spécifique des vulnérabilités, qui n'ont pas encore été empaquetés pour Debian mais peuvent néanmoins être utiles à auditeur, notamment : Outils relatifs aux bogues XSS : http://freshmeat.net/projects/xsslint/";>Xsslint http://www.devitry.com/screamingCSS.html";>ScreamingCSS Outils de test de navigateur web : http://www.securityfocus.com/archive/1/378632";>MangleMe Aucun de ces outils n'est parfait. Ils ne peuvent être utilisés que comme point de départ pour des études plus poussées. Mais étant donné leur simplicité d'utilisation, cela vaut le coup de passer du temps à les essayer. Chaque outil a ses avantages et ses inconvénients. C'est pourquoi il est recommandé d'en utiliser plus d'un. Flawfinder flawfinder est un outil codé en Python destiné à analyser du code source C et C++ à la recherche de défauts de sécurité potentiels. Lorsqu'il est exécuté dans un répertoire contenant du code source, la liste des problèmes potentiels détectés est générée, triés par risque (où la variable risk est un entier entre 1 et 5). Pour ignorer les risques mineurs, il est possible de configurer le programme pour ne pas lister les défauts en dessous d'un certain niveau de risque. Par défaut, la sortie sera formatée en texte brut, mais une sortie au format HTML est également disponible. Le programme fonctionne en parcourant le code à la recherche de fonctions connues pour être couramment mal utilisées. Afin de faciliter la lecture du rapport, il est possible de générer un rapport contenant la ligne du code source, contenant la fonction utilisée. Cela peut être utile pour détecter immédiatement un problème, ou également l'éliminer. Vous pouvez voir un exemple de la façon dont est utilisé flawfinder, ainsi que le rapport qu'il génère dans la section des exemples d'audit. ITS4 ITS4 est un outil appartenant à la section non-free de l'archive Debian, qui est disponible uniquement pour l'actuelle distribution stable (Woody). ITS4 peut être utilisé pour chercher dans du code source C et C++ de potentielles failles de sécurité, de même que flawfinder. Le rapport généré essaie d'être pertinent, en excluant une partie des cas où les appels à des fonctions dangereuses ont été faits avec précaution. RATS RATS est un outil similaire à ceux listés ci-dessus, excepté qu'il supporte plus de langages. Actuellement sont supportés : C, C++, Perl, PHP et Python. Cet outil utilise un simple fichier XML pour obtenir les vulnérabilités, ce qui en fait l'outil le plus simple à modifier. De nouvelles fonctions peuvent être ajoutées facilement pour chaque langage supporté. Vous pouvez voir un exemple d'utilisation de RATS et le rapport généré dans la section des exemples d'audit. pscan pscan diffère des outils précédemment décrits, car ce n'est pas du tout un scanner généraliste. Au contraire, c'est un programme qui vise spécifiquement la détection de bogues dans le format des chaînes de caractères. L'outil essaiera de trouver des problèmes potentiels dans l'utilisation des fonctions variadiques (pouvant accepter un nombre variable d'arguments) dans du code C et C++, par exemple les fonctions printf, fprintf et syslog. Les bogues de format des chaînes de caractères sont facilement détectables et réparables. Ainsi, bien qu'ils constituent la nouvelle génération d'attaques logicielles, la majorité d'entre eux ont sans doute déjà été trouvés et corrigés. Vous pouvez voir un exemple d'utilisation de pscan et le rapport généré
[DONE] webwml://security/2005/dsa-717.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[LCFC] webwml://security/audit/tools.wml
Le samedi 30 avril 2005 à 14:55 +0200, Simon Paillard a écrit : > Bonjour, > > Voici une relecture suite à la mise à jour de la vo (ajout d'un lien) > J'ai également corrigé un problème d'accent sur une majuscule. > > Merci pour vos relectures. Merci à Bernard Gisbert pour sa relecture. -http://hinterhof.net/~max/audit-perl/";>Audit::Source. +http://hinterhof.net/~max/audit-perl/";>Audit:Source. Je n'ai pas intégré cette correction, car un module perl a bien :: dans son nom. -néanmoins être utiles à auditeur, notamment : +néanmoins être utiles à l'auditeur, notamment : C'est intégré. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.16" maintainer="DFS Task Force" #use wml::debian::template title="Outils d'audit de sécurité" #use wml::debian::recent_list Plusieurs paquets disponibles dans l'archive Debian sont destinés à faciliter les audits de code source. Sont inclus : http://packages.debian.org/flawfinder";>Flawfinder Exemple d'utilisation de flawfinder http://packages.debian.org/its4";>ITS4 Il n'y a pas d'exemple fourni pour ITS4 puisque celui-ci a été enlevé de la distribution instable (Sid). http://packages.debian.org/rats";>RATS Exemple d'utilisation de RATS http://packages.debian.org/pscan";>pscan Exemple d'utilisation de pscan Max Vozeler a écrit un ensemble de modules perl pour quelques uns de ces outils, qui pourrait vous être utile si vous vous intéressez à l'audit automatique des performances. Vous pouvez trouver tous ces modules sur sa page http://hinterhof.net/~max/audit-perl/";>Audit::Source. De plus, il existe d'autres outils spécifiques à un domaine spécifique des vulnérabilités, qui n'ont pas encore été empaquetés pour Debian mais peuvent néanmoins être utiles à l'auditeur, notamment : Outils relatifs aux bogues XSS : http://freshmeat.net/projects/xsslint/";>Xsslint http://www.devitry.com/screamingCSS.html";>ScreamingCSS Outils de test de navigateur web : http://www.securityfocus.com/archive/1/378632";>MangleMe Aucun de ces outils n'est parfait. Ils ne peuvent être utilisés que comme point de départ pour des études plus poussées. Mais étant donné leur simplicité d'utilisation, cela vaut le coup de passer du temps à les essayer. Chaque outil a ses avantages et ses inconvénients. C'est pourquoi il est recommandé d'en utiliser plus d'un. Flawfinder flawfinder est un outil codé en Python destiné à analyser du code source C et C++ à la recherche de défauts de sécurité potentiels. Lorsqu'il est exécuté dans un répertoire contenant du code source, la liste des problèmes potentiels détectés est générée, triés par risque (où la variable risk est un entier entre 1 et 5). Pour ignorer les risques mineurs, il est possible de configurer le programme pour ne pas lister les défauts en dessous d'un certain niveau de risque. Par défaut, la sortie sera formatée en texte brut, mais une sortie au format HTML est également disponible. Le programme fonctionne en parcourant le code à la recherche de fonctions connues pour être couramment mal utilisées. Afin de faciliter la lecture du rapport, il est possible de générer un rapport contenant la ligne du code source, contenant la fonction utilisée. Cela peut être utile pour détecter immédiatement un problème, ou également l'éliminer. Vous pouvez voir un exemple de la façon dont est utilisé flawfinder, ainsi que le rapport qu'il génère dans la section des exemples d'audit. ITS4 ITS4 est un outil appartenant à la section non-free de l'archive Debian, qui est disponible uniquement pour l'actuelle distribution stable (Woody). ITS4 peut être utilisé pour chercher dans du code source C et C++ de potentielles failles de sécurité, de même que flawfinder. Le rapport généré essaie d'être pertinent, en excluant une partie des cas où les appels à des fonctions dangereuses ont été faits avec précaution. RATS RATS est un outil similaire à ceux listés ci-dessus, excepté qu'il supporte plus de langages. Actuellement sont supportés : C, C++, Perl, PHP et Python. Cet outil utilise un simple fichier XML pour obtenir les vulnérabilités, ce qui en fait l'outil le plus simple à modifier. De nouvelles fonctions peuvent être ajoutées facilement pour chaque langage supporté. Vous pouvez voir un exemple d'utilisation de RATS et le rapport généré dans la section des exemples d'audit. pscan pscan diffère des outils précédemment décrits, car ce n'est pas du tout un scanner généraliste. Au contraire, c'est un programme qui vise spécifiquement la détection de bogues dans le format des chaînes de caractères. L'outil essaiera de trouver des problèmes potentiels dans l'utilisation
[LCFC] webwml://security/audit/examples/{flawfinder,pscan}.wml
Le samedi 30 avril 2005 à 14:42 +0200, Simon Paillard a écrit : > Le samedi 30 avril 2005 à 13:37 +0200, Simon Paillard a écrit : > > Bonjour, > > > > Je m'occupe de ces fichiers. > > J'ai un doute sur la traduction de la fin de ce paragraphe : > > Including context information is very useful too as it can > immediately attract attention to areas of concern, or rule out other > reports as being invalid. > > L'inclusion des informations de contexte est également très utile > puisqu'elle attire immédiatement l'attention sur les zones concernées, > et exclue les autres rapports comme étant invalides. Je suis toujours à la recherche d'un avis :) > Merci d'avance aux relecteurs. Merci à Bernard Gisbert pour ses relectures, j'ai tout intégré. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.6" maintainer="Simon Paillard" #use wml::debian::template title="Exemple d'audit automatisé : flawfinder" #use wml::debian::recent_list http://packages.debian.org/flawfinder";>flawfinder est un outil généraliste pour trouver et rapporter des défauts potentiels dans du code source C et C++. Utiliser flawfinder Utiliser flawfinder est simple, cela se résume à l'invoquer avec le nom des répertoires ou des fichiers à examiner. Pour un répertoire donné, l'outil traitera tous les fichiers source qu'il trouvera dans le répertoire. En plus de la liste des fichiers ou répertoires, il existe des options de ligne de commande permettant de contrôler le comportement de l'outil. Chacune des options est expliquée dans la page du manuel, mais les options suivantes sont particulièrement utiles et seront utilisées dans notre exemple : --minlevel=X Règle à X le niveau minimum de risque d'affichage du défaut. Le niveau va de 1 à 5, 1 pour le faible risque, à 5 pour le risque élevé. --html Formate le résultat en HTML au lieu de texte simple. --context Affiche le contexte, i.e., les lignes concernées par le défaut potentiel. Pour obtenir dans un fichier HTML les résultats du programme, restreints aux fonctions à haut risque, il faudrait utiliser quelque chose comme cela : flawfinder --html --context --minlevel=4 test.c > output.html Les résultats Voici les résultats du traitement par flawfinder de notre code d'exemple : Examining test.c test.c:18: [4] (buffer) strcpy: Does not check for buffer overflows when copying to destination. Consider using strncpy or strlcpy (warning, strncpy is easily misused). strcpy( dir, argv[ 1 ] ); test.c:24: [4] (buffer) sprintf: Does not check for buffer overflows. Use snprintf or vsnprintf. sprintf( dir, "%s", getenv( "HOME" ) ); test.c:33: [4] (shell) popen: This causes a new program to execute and is difficult to use safely. try using a library call that implements the same functionality if available. fp = popen( cmd, "r" ); test.c:42: [4] (format) printf: If format strings can be influenced by an attacker, they can be exploited. Use a constant for the format specification. printf( buff ); Number of hits = 4 Number of Lines Analyzed = 48 in 0.53 seconds (1392 lines/second) Comprendre les résultats De la même façon que pour RATS, ce rapport est très simple à lire. Il montre clairement quelles fonctions ont été détectées comme potentiellement dangereuses, ainsi que la description du problème. L'inclusion des informations de contexte est également très utile puisqu'elle attire immédiatement l'attention sur les zones concernées, et exclue les autres rapports comme étant invalides. L'analyse de notre code d'exemple est assez intelligente, dans le sens où elle n'avertit pas de toute utilisation de la fonction strcpy qui peut s'avérer ennuyeuse - mais seulement celles repérées comme potentiellement dangereuses. De cette façon, flawfinder a réussi à mettre en évidence tous les défauts de notre code, sans faux positifs. Retour à la page du projet d'audit | Retour à la page des exemples d'audit signature.asc Description: This is a digitally signed message part
[LCFC] webwml://security/2005/dsa-716.wml
Le mercredi 27 avril 2005 à 11:30 +0200, Simon Paillard a écrit : > Voici la traduction de l'annonce 716, touchant gaim. > Merci d'avance aux relecteurs. Merci à Bernard Gisbert pour sa relecture. (s/malformés/mal formés/ : les deux semblent corrects, mais aspell préfère la deuxième tournure) -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Déni de service Il a été découvert que certains paquets SNAC mal formés envoyés par d'autres utilisateurs AIM ou ICQ pouvaient déclencher une boucle infinie dans Gaim, un client de messagerie instantanée multiprotocole, et mener ainsi à un déni de service sur le client. Deux autres possibilités de déni de service ont été découvertes dans les versions récentes de Gaim. Celles-ci sont corrigées dans le paquet de la distribution instable (Sid), mais ne sont pas présentes dans le paquet de l'actuelle distribution stable (Woody). Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.58-2.5. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.1.3-1. Nous vous recommandons de mettre à jour vos paquets gaim. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-716.data" # $Id: dsa-716.wml,v 1.2 2005/04/28 17:14:45 thuriaux Exp $ signature.asc Description: This is a digitally signed message part
[LCFC] webwml://security/2005/{dsa-718,dsa-719}.wml
Le vendredi 29 avril 2005 à 01:48 +0200, Nicolas Aupetit a écrit : > Simon Paillard a écrit : > > Voici les deux dernières annonces de sécurité, 718 et 719. > > > > Dans dsa-718, j'ai traduit « the IAPP dissector of Ethereal » par > > extracteur, décortiqueur ou dépeceur étant un peu plus gore :) > > Voici une relecture, petite coquille. Merci à Nicolas Aupetit pour sa relecture. Pas de changement pour dsa-719 -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Dépassement de tampon Un dépassement de tampon a été découvert dans l'extracteur IAPP d'Ethereal, un analyseur de trafic réseau communément utilisé. Un attaquant distant pouvait provoquer un dépassement de tampon en utilisant un paquet malicieux. D'autres problèmes ont été découverts qui ne touchent pas la version dans l'actuelle distribution stable (Woody), mais sont corrigés dans la version de la distribution instable (Sid). Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.9.4-1woody12. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 0.10.10-1. Nous vous recommandons de mettre à jour vos paquets ethereal. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-718.data" # $Id: dsa-718.wml,v 1.2 2005/04/28 16:10:55 toddy Exp $ signature.asc Description: This is a digitally signed message part
[LCFC] webwml://security/2005/{dsa-718,dsa-719}.wml
Le vendredi 29 avril 2005 à 01:48 +0200, Nicolas Aupetit a écrit : > Simon Paillard a écrit : > > Voici les deux dernières annonces de sécurité, 718 et 719. > > > > Dans dsa-718, j'ai traduit « the IAPP dissector of Ethereal » par > > extracteur, décortiqueur ou dépeceur étant un peu plus gore :) > > Voici une relecture, petite coquille. Merci à Nicolas Aupetit pour sa relecture. Pas de changement pour dsa-719 -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force" Dépassement de tampon Un dépassement de tampon a été découvert dans l'extracteur IAPP d'Ethereal, un analyseur de trafic réseau communément utilisé. Un attaquant distant pouvait provoquer un dépassement de tampon en utilisant un paquet malicieux. D'autres problèmes ont été découverts qui ne touchent pas la version dans l'actuelle distribution stable (Woody), mais sont corrigés dans la version de la distribution instable (Sid). Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.9.4-1woody12. Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 0.10.10-1. Nous vous recommandons de mettre à jour vos paquets ethereal. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-718.data" # $Id: dsa-718.wml,v 1.2 2005/04/28 16:10:55 toddy Exp $ signature.asc Description: This is a digitally signed message part
[RFR] webwml://security/2005/dsa-720.wml
Bonsoir, Voici la traduction de la dernière annonce de sécurité concernant SmartList. Je ne saisis pas du tout le sens de « which is used on that host as well, » qui semble répéter le fait que SmartList est effectivement utilisé sur lists.debian.org. Merci d'avance aux relecteurs. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Mauvais traitement des entrées Jeroen van Wolffelaar a remarqué que le module de confirmation de SmartList, le gestionnaire de listes de diffusion utilisé sur lists.debian.org, pouvait être piégé pour inscrire des adresses arbitraires aux listes de diffusion. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 3.15-5.woody.1. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 3.15-18. Nous vous recommandons de mettre à jour votre paquet smartlist. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-720.data" # $Id: dsa-720.wml,v 1.1 2005/05/03 15:55:00 joey Exp $ signature.asc Description: This is a digitally signed message part
[RFR] webwml://security/2005/dsa-721.wml
Bonjour, Voici la dernière annonce de sécurité (dsa-721) concernant Squid. Merci d'avance pour vos relectures. -- Simon Paillard dsa-721.wml Description: Binary data
[ITT] webwml://security/audit/{auditing,bugs,examples/RATS}.wml
Bonjour, Je m'occupe de ces fichiers. webwml://security sera bientôt à jour :) -- Simon Paillard -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
[RFR] webwml://security/2005/dsa-722.wml
Bonjour, Voici la dernière annonce de sécurité (dsa-722), à propos de smail. Merci d'avance aux relecteurs. -- Simon Paillard #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Dépassement de tampon Un dépassement de tampon a été découvert dans Smail, un système de transport de courrier électronique. Ce dépassement de tampon qui permettait aux utilisateurs distants et locaux d'exécuter du code arbitraire. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 3.2.0.114-4woody1. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 3.2.0.115-7. Nous vous recommandons de mettre à jour votre paquet smail. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-722.data" # $Id: dsa-722.wml,v 1.1 2005/05/09 13:18:31 joey Exp $
[DONE] webwml://security/2005/dsa-716.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[RFR] webwml://security/2005/dsa-723.wml
Bonjour, Voici la dernière annonce de sécurité (723). Merci d'avance pour vos relectures. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Dépassement de tampon Un dépassement de tampon a été découvert dans la librairie Xpm qui est utilisée dans XFree86. Un attaquant distant pouvait soumettre une image malveillante au format XPM menant à l'exécution de code arbitraire. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 4.1.0-16woody6 Pour la distribution instable (Sid), ce problème sera corrigé dans la version 4.3.0.dfsg.1-13, actuellement en préparation. Nous vous recommandons de mettre à jour votre paquet xfree86 ainsi que les paquets associés. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-723.data" # $Id: dsa-723.wml,v 1.1 2005/05/09 16:02:59 joey Exp $ signature.asc Description: This is a digitally signed message part
[RFR2] webwml://security/2005/dsa-722.wml
Le lundi 09 mai 2005 à 17:50 +0200, Frédéric Bothamy a écrit : > * Simon Paillard [2005-05-09 16:20] : > > Voici la dernière annonce de sécurité (dsa-722), à propos de smail. > > -de courrier électronique. Ce dépassement de tampon qui permettait aux > +de courrier électronique. Ce dépassement de tampon permettait aux Merci pour ta correction, c'est intégré. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" Dépassement de tampon Un dépassement de tampon a été découvert dans Smail, un système de transport de courrier électronique. Ce dépassement de tampon permettait aux utilisateurs distants et locaux d'exécuter du code arbitraire. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 3.2.0.114-4woody1. Pour la distribution instable (Sid), ce problème a été corrigé dans la version 3.2.0.115-7. Nous vous recommandons de mettre à jour votre paquet smail. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-722.data" # $Id: dsa-722.wml,v 1.1 2005/05/09 14:26:40 thuriaux Exp $ signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/2005/{dsa-718,dsa-719}.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/audit/tools.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/audit/examples/{flawfinder,pscan}.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
[LCFC] webwml://security/2005/dsa-723.wml
Le lundi 09 mai 2005 à 19:06 +0200, Simon Paillard a écrit : > Voici la dernière annonce de sécurité (723). > > Merci d'avance pour vos relectures. Merci à Cyril Brulebois pour sa relecture. On en profite pour se synchroniser avec la 1.3 de la VO. -- Simon Paillard <[EMAIL PROTECTED]> #use wml::debian::translation-check translation="1.3" maintainer="DFS Task Force" Dépassement de tampon Un dépassement de tampon a été découvert dans la bibliothèque Xpm qui est utilisée dans XFree86. Un attaquant distant pouvait soumettre une image malveillante au format XPM menant à l'exécution de code arbitraire. Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 4.1.0-16woody6. Pour la distribution instable (Sid), ce problème sera corrigé dans la version 4.3.0.dfsg.1-13, actuellement en préparation. Nous vous recommandons de mettre à jour votre paquet xfree86 ainsi que les paquets associés. # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-723.data" # $Id: dsa-723.wml,v 1.1 2005/05/09 18:38:54 adn Exp $ signature.asc Description: This is a digitally signed message part
[DONE] webwml://security/2005/dsa-720.wml
DONE pour le robot. -- Simon Paillard <[EMAIL PROTECTED]> signature.asc Description: This is a digitally signed message part
