contenu de la page
Flux RSS sécurité de debian
Ceci est le flux RSS importé de l'adresse suivante : http://www.debian.org/security/dsa-long.fr.rdf
DSA-2474 ikiwiki - Script intersite
Raúl Benencia a découvert qu'ikiwiki, un compilateur de wiki, ne protège pas correctement l'auteur (et son URL) de certaines métadonnées, comme les commentaires. Cela pourrait être utilisé pour mener des attaques par script intersite.
16 May 2012
lire plus sur DSA-2474 ikiwiki - Script intersiteDSA-2473 openoffice.org - Dépassement de tampon
Tielei Wang a découvert qu'OpenOffice.org n'allouait pas un espace de mémoire assez grand lors du traitement d'un objet JPEG contrefait pour l'occasion, conduisant à un dépassement de tas et éventuellement l'exécution de code arbitraire.
16 May 2012
lire plus sur DSA-2473 openoffice.org - Dépassement de tamponDSA-2472 gridengine - Augmentation de droits
Dave Love a découvert que les utilisateurs ayant le droit de soumettre des tâches à une installation de Grid Engine peuvent augmenter leurs droits pour devenir superutilisateur car l'environnement n'est pas correctement vérifié avant de créer les processus.
15 May 2012
lire plus sur DSA-2472 gridengine - Augmentation de droitsDSA-2471 ffmpeg - Plusieurs vulnérabilités
Plusieurs vulnérabilités ont été découvertes dans FFmpeg, un lecteur, serveur et encodeur multimédia. Plusieurs validations d'entrées dans les décodeurs et demuxers de fichiers Westwood Studios VQA, Apple MJPEG-B, Theora, Matroska, Vorbis, Sony ATRAC3, DV et NSV pourraient conduire à l'exécution de code arbitraire.
13 May 2012
lire plus sur DSA-2471 ffmpeg - Plusieurs vulnérabilitésDSA-2458 iceape - Plusieurs vulnérabilités
Plusieurs vulnérabilités ont été découvertes dans la suite Internet Iceape, une version sans marque de Seamonkey.
13 May 2012
lire plus sur DSA-2458 iceape - Plusieurs vulnérabilitésDSA-2457 iceweasel - Plusieurs vulnérabilités
Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner intégrée fournit des services de rendu pour plusieurs autres applications intégrées à Debian.
13 May 2012
lire plus sur DSA-2457 iceweasel - Plusieurs vulnérabilitésDSA-2470 wordpress - Plusieurs vulnérabilités
Plusieurs vulnérabilités ont été identifiées dans WordPress, un gestionnaire de blog. Puisque les CVE ont été alloués à partir des annonces de publication, et que les corrections spécifiques ne sont normalement pas identifiées, le paquet wordpress a été mis à jour vers sa dernière version amont au lieu de rétroporter les correctifs.
11 May 2012
lire plus sur DSA-2470 wordpress - Plusieurs vulnérabilitésDSA-2469 linux-2.6 - Augmentation de droits, déni de service
Plusieurs vulnérabilités ont été découvertes dans le noyau Linux, qui pourraient conduire à un déni de service ou une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
10 May 2012
lire plus sur DSA-2469 linux-2.6 - Augmentation de droits, déni de serviceDSA-2468 libjakarta-poi-java - Allocation illimitée de mémoire
Apache POI, une implémentation en Java des formats de fichier Microsoft Office, allouerait des quantités arbitraires de mémoire lors du traitement de documents contrefaits. Cela pourrait avoir un impact sur la stabilité de la machine virtuelle Java.
9 May 2012
lire plus sur DSA-2468 libjakarta-poi-java - Allocation illimitée de mémoireDSA-2467 mahara - Défauts non sécurisés
Mahara, un portefeuille électronique complet, blog et constructeur de curriculum vitæ, possède un défaut non sécurisé par rapport à l'authentification basée sur SAML utilisée avec plus d'un fournisseur d'identité (IdP) SAML. Quelqu'un contrôlant une IdP pourrait usurper l'identité des utilisateurs d'autres IdP.
9 May 2012
lire plus sur DSA-2467 mahara - Défauts non sécurisésDSA-2466 rails - Script intersite
Sergey Nartimov a découvert que dans Rails, un environnement de développement web basé sur Ruby, lorsque les développeurs génèrent eux-mêmes les étiquettes d'options html, l'entrée utilisateur concaténée avec les étiquettes qu'ils ont construites eux-mêmes pourrait ne pas être protégée et un attaquant peut injecter du HTML arbitraire dans le document.
9 May 2012
lire plus sur DSA-2466 rails - Script intersiteDSA-2465 php5 - Plusieurs vulnérabilités
De Eindbazen a découvert que PHP, s'il est exécuté avec mod_cgi, interprétera une chaîne de requête comme des paramètres de ligne de commande, permettant d'exécuter du code arbitraire.
9 May 2012
lire plus sur DSA-2465 php5 - Plusieurs vulnérabilitésDSA-2422 file - Vérifications de limites manquantes
L'outil d'identification de type de fichier, file, et sa bibliothèque associée, libmagic, ne traitent pas correctement les fichiers contrefaits au format Composite Document File (CDF), conduisant à des plantages.
9 May 2012
lire plus sur DSA-2422 file - Vérifications de limites manquantesDSA-2464 icedove - Plusieurs vulnérabilités
Plusieurs vulnérabilités ont été découvertes dans Icedove, une version sans marque du client de courrier électronique et lecteur de nouvelles Thunderbird.
8 May 2012
lire plus sur DSA-2464 icedove - Plusieurs vulnérabilitésDSA-2459 quagga - Plusieurs vulnérabilités
Plusieurs vulnérabilités ont été découvertes dans Quagga, un démon de routage.
4 May 2012
lire plus sur DSA-2459 quagga - Plusieurs vulnérabilitésDSA-2462 imagemagick - Plusieurs vulnérabilités
Plusieurs dépassements d'entier et validations insuffisantes des entrées ont été découverts dans les programmes de manipulation d'image ImageMagick, avec pour conséquence l'exécution de code arbitraire ou un déni de service.
3 May 2012
lire plus sur DSA-2462 imagemagick - Plusieurs vulnérabilitésDSA-2463 samba - Vérifications de droits manquantes
Ivano Cristofolini a découvert que des vérifications de sécurité insuffisantes dans le traitement par Samba des appels RPC LSA pourraient permettre une augmentation de droits par appropriation de fichiers ou répertoires (
take ownership
).2 May 2012
lire plus sur DSA-2463 samba - Vérifications de droits manquantesDSA-2461 spip - Plusieurs vulnérabilités
Plusieurs vulnérabilités ont été découvertes dans SPIP, un système de publication pour Internet, avec pour conséquences des scripts intersites, une injection de code de script et un contournement de restrictions.
26 avril 2012
lire plus sur DSA-2461 spip - Plusieurs vulnérabilitésDSA-2460 asterisk - Plusieurs vulnérabilités
Plusieurs vulnérabilités ont été découvertes dans la boîte à outils d'autocommutateur (PBX) et téléphonie Asterisk.
25 avril 2012
lire plus sur DSA-2460 asterisk - Plusieurs vulnérabilitésDSA-2454 openssl - Plusieurs vulnérabilités
Plusieurs vulnérabilités ont été découvertes dans OpenSSL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
24 avril 2012
lire plus sur DSA-2454 openssl - Plusieurs vulnérabilitésDSA-2456 dropbear - Utilisation de mémoire après libération
Danny Fullerton a découvert une utilisation de mémoire après libération dans le démon SSH Dropbear, avec pour conséquence une éventuelle exécution de code arbitraire. L'exploitation est limitée aux utilisateurs ayant été authentifiés à l'aide d'une clef publique et pour lesquels des restrictions de commandes sont configurées.
23 avril 2012
lire plus sur DSA-2456 dropbear - Utilisation de mémoire après libérationDSA-2455 typo3-src - Absence de vérification des entrées
Helmut Hummel de l'équipe de sécurité de TYPO3 a découvert que TYPO3, un système de gestion de contenu web, ne vérifie pas correctement la sortie du traitement d'exception. Cela permet à un attaquant de réaliser des attaques par script intersite si des extensions tierces qui ne vérifient pas cette sortie elles-mêmes sont installées ou en présence d'extensions utilisant l'environnement MVC extbase qui accepte des objets pour les actions de contrôleur.
20 avril 2012
lire plus sur DSA-2455 typo3-src - Absence de vérification des entrées
