Re: [rfr] wml://security/2008/dsa-152{0,1,2,3,4,5,6,7,8,9}.wml

2008-08-25 Par sujet Stéphane Blondon 
Principalement des "s" en trop.

-- 
Stéphane.
--- dsa-1524.wml	2008-08-25 23:38:40.0 +0200
+++ modif.dsa-1524.wml	2008-08-25 23:39:26.0 +0200
@@ -16,7 +16,7 @@
 Un attaquant distant non authentifié peut engendrer le plantage d'un KDC
 avec krb4 activé, divulguer des informations ou exécuter du code
 arbitraire. L'exploitation réussie de cette vulnérabilité peut compromettre
-la base de données de clés Kerberos et la sécurités des hôtes sur l'hôte
+la base de données de clés Kerberos et la sécurité des hôtes sur l'hôte
 KDC.
 
   
--- dsa-1525.wml	2008-08-25 23:40:22.0 +0200
+++ modif.dsa-1525.wml	2008-08-25 23:42:15.0 +0200
@@ -39,7 +39,7 @@
 
 
 L'état de l'ancienne distribution stable (Sarge) est en cours
-d'analyse. Si vous êtes affectés, une mise à jour sera publiées via
+d'analyse. Si vous êtes affecté, une mise à jour sera publiée via
 security.debian.org.
 
 
--- dsa-1529.wml	2008-08-25 23:43:53.0 +0200
+++ modif.dsa-1529.wml	2008-08-25 23:46:03.0 +0200
@@ -15,7 +15,7 @@
 de notre charte stricte, cela se révèle impossible pour la version 1.5 de
 Firebird à cause des importantes modifications structurelles nécessaires à la
 correction de ce problème. En conséquence la gestion de la sécurité de la
-version 1.5 de Firebird est abandonnées à compter de ce moment. Cela
+version 1.5 de Firebird est abandonnée à compter de ce moment. Cela
 laisse deux possibilités aux administrateurs utilisant une base de données
 Firebird :
 
@@ -40,9 +40,9 @@
 
 Ces paquets sont rétroportés pour fonctionner sur la version stable de
 Debian. Comme firebird2.0  n'est pas un remplaçant de firebird2 (qui est le
-nom du paquet source de ma version 1.5 des paquets de Firebird), ces
+nom du paquet source de la version 1.5 des paquets de Firebird), ces
 mises à jours ne sont pas publiées via security.debian.org. Les
-possibles futurs problèmes de sécurité affectant la version stable de
+éventuels futurs problèmes de sécurité affectant la version stable de
 Debian seront également corrigés via backports.org.
 
 Le nécessaire a été fait pour s'assurer que la version de Firebird dans la

[rfr] wml://security/2008/dsa-152{0,1,2,3,4,5,6,7,8,9}.wml

2008-08-15 Par sujet Nicolas Bertolissio 
-- 
  .~.Nicolas Bertolissio
  /V\[EMAIL PROTECTED]
 // \\
/(   )\
 ^`~'^  Debian GNU/Linux
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"

Vérification d'entrées manquante



On a découvert que le module d'expressions rationnelles de Smarty, un moteur de
gabarits PHP, permettait à un attaquant d'appeler des fonctions PHP arbitraires
par l'intermédiaire de gabarits utilisant le module regex_replace avec une
chaîne de recherche conçue spécialement.



Pour l'ancienne distribution stable (Sarge), ce problème a été corrigé
dans la version 2.6.9-1sarge1.



Pour la distribution stable (Etch), ce problème a été corrigé dans la
version 2.6.14-1etch1.



Pour la distribution instable (Sid), ce problème a été corrigé dans la
version 2.6.18-1.1.



Nous vous recommandons de mettre à jour votre paquet smarty.




# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1520.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"

Divulgation de fichiers



Julien Cayzac a découvert que dans certaines circonstances lighttpd, un serveur
sur la Toile rapide ayant une empreinte mémoire minimale, permettait la lecture
de fichiers arbitraires du système. Ce problème ne peut se produire qu'avec une
configuration non standard.



Pour la distribution stable (Etch), ce problème a été corrigé dans la
version 1.4.13-4etch6.



Nous vous recommandons de mettre à jour votre paquet lighttpd.




# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1521.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"

Erreur de programmation



Tavis Ormandy a découvert qu'unzip, lors du traitement d'archives ZIP conçues
spécialement, pouvait passer des pointeurs invalides à la routine de libération
de mémoire de la bibliothèque C. Cela peut conduire à l'exécution de code
arbitraire (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0888";>CVE-2008-0888).



Pour l'ancienne distribution stable (Sarge), ce problème a été corrigé
dans la version 5.52-1sarge5.



Pour la distribution stable (Etch), ce problème a été corrigé dans la
version 5.52-9etch1.



Pour la distribution instable (Sid), ce problème sera corrigé
prochainement.



Nous vous recommandons de mettre à jour votre paquet unzip.




# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1522.data"
#use wml::debian::translation-check translation="1.1" maintainer="Nicolas Bertolissio"

Script intersite



Josh Triplett a découvert qu'ikiwiki ne bloquait pas le JavaScript dans les
URL. Cela conduit à des vulnérabilités de scripts intersites (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0808";>CVE-2008-0808,
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0809";>CVE-2008-0809).



L'ancienne distribution stable (Sarge) ne contient pas de paquet
ikiwiki.



Pour la distribution stable (Etch), ce problème a été corrigé dans la
version 1.33.4.



Pour la distribution instable (Sid), ce problème a été corrigé dans la
version 2.31.1.



Nous vous recommandons de mettre à jour votre paquet ikiwiki.




# ne pas modifier la ligne suivante
#include "$(ENGLISHDIR)/security/2008/dsa-1523.data"
#use wml::debian::translation-check translation="1.2" maintainer="Nicolas Bertolissio"

Plusieurs vulnérabilités



Plusieurs vulnérabilités distantes ont été découvertes dans le composant kdc de
krb5, un système d'authentifications des utilisateurs et des services sur
réseau. Le projet des expositions et vulnérabilités communes (CVE) identifie
les problèmes suivants :



  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0062";>CVE-2008-0062

Un attaquant distant non authentifié peut engendrer le plantage d'un KDC
avec krb4 activé, divulguer des informations ou exécuter du code
arbitraire. L'exploitation réussie de cette vulnérabilité peut compromettre
la base de données de clés Kerberos et la sécurités des hôtes sur l'hôte
KDC.

  
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0063";>CVE-2008-0063

Un attaquant distant non authentifié peut faire divulguer des informations
à un KDC avec krb4 activé. il est théoriquement possible que ces
informations comprennent les données de clés secrètes sur certaines
plates-formes.

  
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0947";>CVE-2008-0947
  
Un attaquant distant non authentifié peut engendrer une corruption de
mémoire dans le processus kadmind. Il est probable que cela cause le
plantage de kadmind résultant en un déni de service. Il est, au moins
théoriquement, possible qu'une telle corruption engendre une corruption de
la base de données ou l'exécution de code arbitraire, bien que nous n'ayons
pas réussi ni entendu parlé de la réussite d'une telle exploitation de ce
problème. Dans les versions de Kerberos du M.I.T. fournies par Debian, c