http://security.debian.org/ Bulletins d'alerte Debian 2012-02-07T00:18:21+00:00 http://www.debian.org/security/2012/dsa-2405 <p> Plusieurs vulnérabilités ont été découvertes dans le serveur HTTP Apache. </p> 2012-02-06 http://www.debian.org/security/2012/dsa-2403 <p> Stefan Esser a découvert que l'implémentation de la variable de configuration max_input_vars dans une mise à jour de sécurité récente de PHP était défectueuse, de telle sorte qu'elle permet aux attaquants distants de planter PHP ou éventuellement d'exécuter du code. </p> 2012-02-06 http://www.debian.org/security/2012/dsa-2404 <p> Nicolae Mogoreanu a découvert un dépassement de tas dans l'interface de carte réseau e1000e émulée de QEMU, qui est utilisée dans les paquets xen-qemu-dm-4.0. Cette vulnérabilité pourrait permettre à des systèmes clients malveillants de planter le système hôte ou d'augmenter leurs droits. </p> 2012-02-05 http://www.debian.org/security/2012/dsa-2384 <p> Plusieurs vulnérabilités ont été découvertes dans Cacti, un outil graphique pour superviser des données. Plusieurs problèmes de script intersite permettent aux attaquants distants d'injecter du script web ou du HTML arbitraire. Une vulnérabilité d'injection SQL permet aux attaquants distants d'exécuter des commandes SQL arbitraires. </p> 2012-02-04 http://www.debian.org/security/2012/dsa-2402 <p> Plusieurs vulnérabilités ont été découvertes dans la suite Internet Iceape, une version sans marque de Seamonkey. </p> 2012-02-02 http://www.debian.org/security/2012/dsa-2401 <p> Plusieurs vulnérabilités ont été découvertes dans Tomcat, une servlet et un moteur JSP. </p> 2012-02-02 http://www.debian.org/security/2012/dsa-2400 <p> Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner intégrée fournit des services de rendu pour plusieurs autres applications intégrées à Debian. </p> 2012-02-02 http://www.debian.org/security/2012/dsa-2399 <p> Plusieurs vulnérabilités ont été découvertes dans PHP, le langage de script web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> 2012-01-31 http://www.debian.org/security/2012/dsa-2398 <p> Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> 2012-01-30 http://www.debian.org/security/2012/dsa-2397 <p> Un dépassement de tampon dans la bibliothèque Unicode ICU pourrait conduire à l'exécution de code arbitraire. </p> 2012-01-29 http://www.debian.org/security/2012/dsa-2396 <p> Nicolae Mogoreanu a découvert un dépassement de tas dans l'interface de carte réseau e1000e émulée de KVM, un système de virtualisation complet pour matériel x86, qui pourrait conduire à un déni de service ou une augmentation de droits. </p> 2012-01-27 http://www.debian.org/security/2012/dsa-2395 <p> Laurent Butti a découvert un dépassement de tampon par le bas dans le dissecteur LANalyzer de l'analyseur de trafic réseau Wireshark. Cela pourrait permettre l'exécution de code arbitraire (<a href="http://security-tracker.debian.org/tracker/CVE-2012-0068">CVE-2012-0068</a>). </p> 2012-01-27 http://www.debian.org/security/2012/dsa-2394 <p> Plusieurs problèmes de sécurité ont été corrigés dans libxml2, une bibliothèque populaire pour traiter des fichiers de données XML. </p> 2012-01-27 http://www.debian.org/security/2012/dsa-2393 <p> Julien Tinnes a signalé un dépassement de tampon dans le serveur mandataire (<q>proxy</q>) IRC multiutilisateur Bip qui pourrait permettre l'exécution de code arbitraire aux utilisateurs distants. </p> 2012-01-25 http://www.debian.org/security/2012/dsa-2392 <p> Antonio Martin a découvert une vulnérabilité de déni de service dans OpenSSL, une implémentation de TLS et des protocoles associés. Un client malveillant pourrait provoquer le plantage de l'implémentation de serveur DTLS. Le TLS classique, basé sur TCP, n'est pas concerné par ce problème. </p> 2012-01-23 http://www.debian.org/security/2011/dsa-2301 <p> Plusieurs vulnérabilités ont été découvertes dans Rails, le cadre de travail d'application web en Ruby. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> 2012-01-23 http://www.debian.org/security/2012/dsa-2391 <p> Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin, un outil web pour administrer MySQL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> 2012-01-22 http://www.debian.org/security/2012/dsa-2390 <p> Plusieurs vulnérabilités ont été découvertes dans OpenSSL, une implémentation de TLS et des protocoles associés. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> 2012-01-15 http://www.debian.org/security/2012/dsa-2389 <p> Plusieurs vulnérabilités découvertes dans le noyau Linux pourraient conduire à un déni de service ou une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> 2012-01-15 http://www.debian.org/security/2012/dsa-2388 <p> Plusieurs vulnérabilités ont été découvertes dans t1lib, une bibliothèque de rastérisation des polices de Type 1, certaines d'entre elles pourraient permettre l'exécution de code à l'aide de l'ouverture de fichiers intégrant de mauvaises polices. </p> 2012-01-14 http://www.debian.org/security/2012/dsa-2387 <p> <q>timtai1</q> a découvert que simpleSAMLphp, une plateforme d'authentification et de fédération, est vulnérable à une attaque de script intersite, permettant à un attaquant distant d'accéder aux données sensibles d'un client. </p> 2012-01-11 http://www.debian.org/security/2012/dsa-2386 <p> Plusieurs vulnérabilités ont été découvertes dans OpenTTD, un jeu de simulation de transport et d'affaire. Plusieurs dépassements de tampon et des erreurs dues à un décalage d'entier permettent aux attaquants distants de provoquer un déni de service. </p> 2012-01-10 http://www.debian.org/security/2012/dsa-2385 <p> Ray Morris a découvert que le serveur autoritaire PowerDNS répond aux paquets de réponse. Un attaquant qui parvient à usurper l'adresse source des paquets IP peut déclencher une boucle de paquet sans fin entre un serveur autoritaire PowerDNS et un autre serveur DNS, avec pour conséquence un déni de service. </p> 2012-01-10 http://www.debian.org/security/2012/dsa-2383 <p> Robert Luberda a découvert un dépassement de tampon dans le code de journalisation système des connexions de Super, un outil pour exécuter des scripts (ou d'autres commandes) en tant que superutilisateur. La configuration par défaut dans Debian n'est pas concernée. </p> 2012-01-08