[RFR] wml://security/201{0/dsa-2088,1/dsa-2254}.wml

Sat, 04 Jun 2011 18:51:32 -0700 

Salut,

Une mise à jour de sécurité a été mise en ligne, et j'en ai traduit
une plus vieille pour récupérer le retard, par avance merci pour vos
relectures.

Amicalement

David



#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Injection de commande</define-tag>
<define-tag moreinfo>
<p>
OProfile est un outil de profilage de performance
configurable avec opcontrol, son utilitaire de contrôle.

Stephane Chauveau a signalé plusieurs façon d'injecter des
commandes arbitraires dans les arguments de cet utilitaire.

Si un utilisateur est autorisé par le fichier sudoers à exécuter
opcontrol en tant que superutilisateur, cet utilisateur pourrait
utiliser ce défaut pour augmenter ses droits.
</p>

<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.9.3-2+lenny1.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.9.6-1.1+squeeze1.</p>

<p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 0.9.6-1.2.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.9.6-1.2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets oprofile.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2254.data"
# $Id: dsa-2254.wml,v 1.1 2011-06-04 19:16:33 taffit Exp $

#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Absence de vérification des entrées</define-tag>
<define-tag moreinfo>
<p>
On a découvert que Wget, un outil en ligne de commande pour le
téléchargement de fichiers depuis Internet, utilise les noms de fichiers
fournis par le serveur lors de la création des fichiers locaux.

Cela pourrait conduire à l'exécution de code dans certains cas.
</p>

<p>
Après cette mise à jour, Wget ignorera les
noms de fichiers fournis par le serveur.

Vous pouvez réactiver l'ancien comportement en cas de
besoin avec la nouvelle option --use-server-file-name.
</p>

<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.11.4-2+lenny2.</p>

<p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p>

<p>Nous vous recommandons de mettre à jour votre paquet wget.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2088.data"
# $Id: dsa-2088.wml,v 1.1 2011-06-04 19:20:17 taffit Exp $

Attachment: signature.asc
Description: OpenPGP digital signature

Répondre à