Bonjour,
security.debian.org/ squeeze/updates/main linux-headers-2.6.32-5-common amd64 2.6.32-39squeeze1
Oui, vu ça ce matin 
Salut,
Pas encore sur la liste debian.org/security/ chose qui ne serait tarder.
Debian Security Advisory DSA-2391-1
[quote]Package : phpmyadmin
Vulnerability : several
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-1940 CVE-2011-3181 CVE-2011-4107
Debian Bug : 656247[/quote]
Les paquets suivants seront mis à jour :
phpmyadmin
1 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de télécharger 4 351 ko d'archives. Après dépaquetage, 4 096 o seront utilisés.
Voulez-vous continuer ? [Y/n/?] y
Prendre : 1 http://security.debian.org/ squeeze/updates/main phpmyadmin all 4:3.3.7-7 [4 351 kB]
Actualisé.
[22 janvier 2012] DSA-2391 phpmyadmin - Plusieurs vulnérabilités.
[quote]La distribution oldstable (Lenny) n’est pas concernée par ces problèmes.
Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4:3.3.7-7.
Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:3.4.7.1-1.
Nous vous recommandons de mettre à jour vos paquets phpmyadmin.[/quote]
Salut,
[quote]Debian Security Advisory DSA-2392-1 security@debian.org
debian.org/security/
January 23, 2012 debian.org/security/faq
Package : rails
Vulnerability : several
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-2930 CVE-2011-2931 CVE-2011-3186 CVE-2009-4214
Debian Bug : 629067
It was discovered that the last security update for Ruby on Rails,
DSA-2301-1, introduced a regression in the libactionpack-ruby package.
For the oldstable distribution (lenny), this problem has been fixed in
version 2.1.0-7+lenny2.
For the stable distribution (squeeze), this problem has been fixed in
version 2.3.5-1.2+squeeze2.
We recommend that you upgrade your rails packages.
[/quote]
[quote][23 janvier 2012] DSA-2301 rails - Plusieurs vulnérabilités
Bulletin d’alerte Debian
DSA-2301-2 rails – Plusieurs vulnérabilités
Date du rapport :
23 janvier 2012
Paquets concernés :
rails
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-2930, CVE-2011-2931, CVE-2011-3186, CVE-2009-4214.
Plus de précisions :
Plusieurs vulnérabilités ont été découvertes dans Rails, le cadre de travail d’application web en Ruby. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :
CVE-2009-4214
Une vulnérabilité de script intersite (XSS) a été découverte dans la fonction strip_tags. Un attaquant pourrait injecter des caractères non imprimables que certains navigateurs évalueraient alors. Celle vulnérabilité ne concerne que la distribution oldstable (Lenny).
CVE-2011-2930
Une vulnérabilité d’injection SQL a été découverte dans la méthode quote_table_name. Cela pourrait permettre à des utilisateurs malveillants d’injecter du SQL arbitraire dans une requête.
CVE-2011-2931
Une vulnérabilité de script intersite (XSS) a été découverte dans l’assistant strip_tags. Une erreur d’analyse peut être exploitée par un attaquant, qui peut tromper l’analyseur et pourrait injecter des étiquettes HTML dans un document en sortie.
CVE-2011-3186
Une vulnérabilité d’injection de fin de ligne (CRLF) a été trouvée dans response.rb. Cette vulnérabilité permet à un attaquant d’injecter des en-têtes HTTP arbitraires et de réaliser des attaques de séparation de réponse HTTP à l’aide de l’en-tête Content-Type.
Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.1.0-7+lenny2.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.5-1.2+squeeze2.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.14.
Nous vous recommandons de mettre à jour vos paquets rails.
[/quote]
Salut,
[quote][23 janvier 2012]DSA-2392 openssl - Lecture hors limites.
Bulletin d’alerte Debian
Date du rapport :
23 janvier 2012
Paquets concernés :
openssl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0050.
Plus de précisions :
Antonio Martin a découvert une vulnérabilité de déni de service dans OpenSSL, une implémentation de TLS et des protocoles associés. Un client malveillant pourrait provoquer le plantage de l’implémentation de serveur DTLS. Le TLS classique, basé sur TCP, n’est pas concerné par ce problème.
Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.9.8g-15+lenny16.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.9.8o-4squeeze7.
Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.0.0g-1.
Nous vous recommandons de mettre à jour vos paquets openssl.
Cette page est aussi disponible dans les langues suivantes :
dansk English
Comment configurer la langue par défaut du document
[/quote]
* edit *
[quote]- -------------------------------------------------------------------------
Debian Security Advisory DSA-2392-1 security@debian.org
debian.org/security/
January 23, 2012 debian.org/security/faq
Package : rails
Vulnerability : several
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-2930 CVE-2011-2931 CVE-2011-3186 CVE-2009-4214
Debian Bug : 629067
It was discovered that the last security update for Ruby on Rails,
DSA-2301-1, introduced a regression in the libactionpack-ruby package.
For the oldstable distribution (lenny), this problem has been fixed in
version 2.1.0-7+lenny2.
For the stable distribution (squeeze), this problem has been fixed in
version 2.3.5-1.2+squeeze2.
We recommend that you upgrade your rails packages.
[/quote]
Salut,
[quote]Bulletin d’alerte Debian
DSA-2393-1 bip – Dépassement de tampon
Date du rapport :
25 janvier 2012
Paquets concernés :
bip
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 657217.
Dans le dictionnaire CVE du Mitre : CVE-2012-0806.
Plus de précisions :
Julien Tinnes a signalé un dépassement de tampon dans le serveur mandataire (proxy) IRC multiutilisateur Bip qui pourrait permettre l’exécution de code arbitraire aux utilisateur distants.
La distribution oldstable (Lenny) n’est pas concernée par ce problème.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.8.2-1squeeze4.
Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème sera corrigé prochainement.
Nous vous recommandons de mettre à jour vos paquets bip.
[/quote]
Salut,
debian.org/security/2012/dsa-2394
[quote]Bulletin d’alerte Debian
DSA-2394-1 libxml2 – Plusieurs vulnérabilités
Date du rapport :
27 janvier 2012
Paquets concernés :
libxml2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 652352, Bogue 643648, Bogue 656377.
Dans le dictionnaire CVE du Mitre : CVE-2011-0216, CVE-2011-2821, CVE-2011-2834, CVE-2011-3905, CVE-2011-3919.
Plus de précisions :
Plusieurs problèmes de sécurité ont été corrigés dans libxml2, une bibliothèque populaire pour traiter des fichiers de données XML.
CVE-2011-3919
Jüri Aedla a découvert un dépassement de tas qui permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d’autres conséquences non déterminées par des moyens inconnus.
CVE-2011-0216
Une erreur due à un décalage d’entier a été découverte, qui permet aux attaquants distants d’exécuter du code arbitraire ou de provoquer un déni de service.
CVE-2011-2821
Un bogue de corruption de mémoire (double libération de zone mémoire) a été identifié dans le moteur XPath de libxml2. Par son intermédiaire, un attaquant pourrait provoquer un déni de service ou éventuellement avoir un autre impact non indiqué. Cette vulnérabilité ne concerne pas la distribution oldstable (Lenny).
CVE-2011-2834:
Yang Dingning a découvert une vulnérabilité de double libération de zone mémoire relative au traitement XPath.
CVE-2011-3905:
Une vulnérabilité de lecture hors limites avait été découverte. Cela permet aux attaquants distants de provoquer un déni de service.
Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.6.32.dfsg-5+lenny5.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.7.8.dfsg-2+squeeze2.
Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2.7.8.dfsg-7.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.7.8.dfsg-7.
Nous vous recommandons de mettre à jour vos paquets libxml2.
[/quote]
Salut,
[quote]- -------------------------------------------------------------------------
Debian Security Advisory DSA-2395-1 security@debian.org
debian.org/security/ Moritz Muehlenhoff
January 27, 2012 debian.org/security/faq
Package : wireshark
Vulnerability : buffer underflow
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-3483 CVE-2012-0041 CVE-2012-0042 CVE-2012-0066
CVE-2012-0067 CVE-2012-0068
Laurent Butti discovered a buffer underflow in the LANalyzer dissector
of the Wireshark network traffic analyzer, which could lead to the
execution of arbitrary code (CVE-2012-0068)
This update also addresses several bugs, which can lead to crashes of
Wireshark. These are not treated as security issues, but are fixed
nonetheless if security updates are scheduled: CVE-2011-3483,
CVE-2012-0041, CVE-2012-0042, CVE-2012-0066 and CVE-2012-0067.
For the stable distribution (squeeze), this problem has been fixed in
version 1.2.11-6+squeeze6.
For the unstable distribution (sid), this problem has been fixed in
version 1.6.5-1.
We recommend that you upgrade your wireshark packages.
Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: debian.org/security/
[size=150]____________________________________________________________________________[/size]
Debian Security Advisory DSA-2396-1 security@debian.org
debian.org/security/ Moritz Muehlenhoff
January 27, 2012 debian.org/security/faq
Package : qemu-kvm
Vulnerability : buffer underflow
Problem type : remote
Debian-specific: no
CVE ID : CVE-2012-0029
Nicolae Mogoraenu discovered a heap overflow in the emulated e1000e
network interface card of KVM, a solution for full virtualization on
x86 hardware, which could result in denial of service or privilege
escalation.
This update also fixes a guest-triggerable memory corruption in
VNC handling.
For the stable distribution (squeeze), this problem has been fixed in
version 0.12.5+dfsg-5+squeeze8.
For the unstable distribution (sid), this problem has been fixed in
version 1.0+dfsg-5.
We recommend that you upgrade your qemu-kvm packages.
Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: debian.org/security/
[/quote]
Salut,
[quote]Bulletin d’alerte Debian
DSA-2397-1 icu – Dépassement de tampon par le bas
Date du rapport :
29 janvier 2012
Paquets concernés :
icu
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-4599.
Plus de précisions :
Un dépassement de tampon dans la bibliothèque Unicode ICU pourrait conduire à l’exécution de code arbitraire.
Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 3.8.1-3+lenny3.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4.4.1-8.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.8.1.1-3.
Nous vous recommandons de mettre à jour vos paquets icu.[/quote]
[quote]Bulletin d’alerte Debian
DSA-2398-1 curl – Plusieurs vulnérabilités
Date du rapport :
30 janvier 2012
Paquets concernés :
curl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-3389, CVE-2012-0036.
Plus de précisions :
Plusieurs vulnérabilités ont été découvertes dans cURL, une bibliothèque de transfert par URL. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
CVE-2011-3389
Cette mise à jour active les contournements OpenSSL contre l’attaque BEAST. De plus amples renseignements sont disponibles dans l’annonce cURL
CVE-2012-0036
Dan Fandrich a découvert que cURL ne réalise pas suffisamment de vérifications lors de l’extraction d’une partie de chemin de fichier d’une URL.
Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 7.18.2-8lenny6.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 7.21.0-2.1+squeeze1.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 7.24.0-1.
Nous vous recommandons de mettre à jour vos paquets curl.[/quote]
[quote]Bulletin d’alerte Debian
DSA-2399-2 php5 – Plusieurs vulnérabilités
Date du rapport :
31 janvier 2012
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-1938, CVE-2011-2483, CVE-2011-4566, CVE-2011-4885, CVE-2012-0057.
Plus de précisions :
Plusieurs vulnérabilités ont été découvertes dans PHP, le langage de script web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
CVE-2011-1938
Le traitement de socket UNIX permettait aux attaquants de déclencher un dépassement de tampon à l’aide d’un nom de chemin long.
CVE-2011-2483
La fonction crypt_blowfish ne traitait pas correctement les caractères 8 bits, ce qui facilitait aux attaquants la détermination d’un mot de passe non chiffré en connaissant la somme de hachage du mot de passe.
CVE-2011-4566
En utilisant des plateformes 32 bits, l’extension exif pourrait servir à déclencher un dépassement d’entier dans la fonction exif_process_IFD_TAG lors du traitement d’un fichier JPEG.
CVE-2011-4885
Il était possible de déclencher des collisions de sommes de hachage prédictibles lors de l’analyse des paramètres de formulaire. Cela permet aux attaquants distants de provoquer un déni de service en envoyant de nombreux paramètres contrefaits.
CVE-2012-0057
Lors de l’application d’une transformation XSLT contrefaite, un attaquant pourrait écrire des fichiers à des endroits arbitraires du systèmes de fichiers.
Remarque : le correctif pour CVE-2011-2483 demandait une modification du comportement de cette fonction : elle est maintenant incompatible avec certaines anciennes (mauvaises) sommes de hachage générées pour des mots de passes contenant des caractères 8 bits. Consultez l’entrée NEWS du paquet pour plus de précisions. Cette modifications n’a pas été appliquées à la version de PHP dans Lenny.
Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 5.2.6.dfsg.1-1+lenny15.
Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 5.3.3-7+squeeze6.
Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.3.9-1.
Nous vous recommandons de mettre à jour vos paquets php5.[/quote]
Salut,
A vos mises à jour: php5 et Cie
[quote]php5 (5.3.3-7+squeeze5) squeeze-security; urgency=high
- The following new directives were added as part of security fixes:
- max_input_vars - specifies how many GET/POST/COOKIE input variables
may be accepted. Default value is set to 1000. - xsl.security_prefs - define forbidden operations within XSLT
stylesheets. Write operations are now disabled by default.
- max_input_vars - specifies how many GET/POST/COOKIE input variables
– Ondřej Surý ondrej@debian.org Mon, 23 Jan 2012 12:22:26 +0100
php5 (5.3.3-7+squeeze4) squeeze-security; urgency=low
- Updated blowfish crypt() algorithm fixes the 8-bit character handling
vulnerability (CVE-2011-2483) and adds more self-tests. Unfortunately
this change is incompatible with some old (wrong) generated hashes for
passwords containing 8-bit characters. Therefore the new salt prefix
’$2x$’ was introduced which can be used as a replacement for '$2a$'
salt prefix in the password database in case the incompatibility is
found.
– Ondřej Surý ondrej@debian.org Mon, 04 Jul 2011 10:31:16 +0200[/quote]
Salut,
[quote]Bulletin d’alerte Debian
DSA-2384-2 cacti – Plusieurs vulnérabilités
Date du rapport :
4 février 2012
Paquets concernés :
cacti
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2010-1644, CVE-2010-1645, CVE-2010-2543, CVE-2010-2545, CVE-2011-4824.
Plus de précisions :
Plusieurs vulnérabilités ont été découvertes dans Cacti, un outil graphique pour superviser des données. Plusieurs problèmes de script intersite permettent aux attaquants distants d’injecter du script web ou du HTML arbitraire. Une vulnérabilité d’injection SQL permet aux attaquants distants d’exécuter des commandes SQL arbitraires.
Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.8.7b-2.1+lenny5.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.8.7g-1+squeeze1.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.8.7i-2.
Nous vous recommandons de mettre à jour vos paquets cacti.[/quote]
Salut,
[quote]Bulletin d’alerte Debian
DSA-2404-1 xen-qemu-dm-4.0 – Dépassement de tampon
Date du rapport :
5 février 2012
Paquets concernés :
xen-qemu-dm-4.0
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0029.
Plus de précisions :
Nicolae Mogoraenu a découvert un dépassement de tas dans l’interface de carte réseau e1000e émulée de QEMU, qui est utilisée dans les paquets xen-qemu-dm-4.0. Cette vulnérabilité pourrait permettre à des systèmes clients malveillants de planter le système hôte ou d’augmenter leurs droits.
L’ancienne distribution stable (Lenny) ne contient pas de paquet xen-qemu-dm-4.0.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4.0.1-2+squeeze1.
La distribution testing (Wheezy) et la distribution unstable (Sid) seront corrigées prochainement.[/quote]
Salut,
Avec retard … 
[quote]Am 06.02.2012 10:06, schrieb Stefan Fritsch:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Debian Security Advisory DSA-2405-1 security@debian.org
debian.org/security/ Stefan Fritsch
February 06, 2012 debian.org/security/faq
Package : apache2
Vulnerability : multiple issues
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-3607 CVE-2011-3368 CVE-2011-3639 CVE-2011-4317
CVE-2012-0031 CVE-2012-0053Several vulnerabilities have been found in the Apache HTTPD Server:
CVE-2011-3607:
An integer overflow in ap_pregsub() could allow local attackers to
execute arbitrary code at elevated privileges via crafted .htaccess
files.CVE-2011-3368 CVE-2011-3639 CVE-2011-4317:
The Apache HTTP Server did not properly validate the request URI for
proxied requests. In certain reverse proxy configurations using the
ProxyPassMatch directive or using the RewriteRule directive with the
[P] flag, a remote attacker could make the proxy connect to an
arbitrary server. The could allow the attacker to access internal
servers that are not otherwise accessible from the outside.The three CVE ids denote slightly different variants of the same
issue.Note that, even with this issue fixed, it is the responsibility of
the administrator to ensure that the regular expression replacement
pattern for the target URI does not allow a client to append arbitrary
strings to the host or port parts of the target URI. For example, the
configurationProxyPassMatch ^/mail(.*) [internal-host$1](http://internal-host$1)is still insecure and should be replaced by one of the following
configurations:ProxyPassMatch ^/mail(/.*) [internal-host$1](http://internal-host$1) ProxyPassMatch ^/mail/(.*) [internal-host/$1](http://internal-host/$1)CVE-2012-0031:
An apache2 child process could cause the parent process to crash
during shutdown. This is a violation of the privilege separation
between the apache2 processes and could potentially be used to worsen
the impact of other vulnerabilities.CVE-2012-0053:
The response message for error code 400 (bad request) could be used to
expose “httpOnly” cookies. This could allow a remote attacker using
cross site scripting to steal authentication cookies.For the oldstable distribution (lenny), these problems have been fixed in
version apache2 2.2.9-10+lenny12.For the stable distribution (squeeze), these problems have been fixed in
version apache2 2.2.16-6+squeeze6For the testing distribution (wheezy), these problems will be fixed in
version 2.2.22-1.For the unstable distribution (sid), these problems have been fixed in
version 2.2.22-1.We recommend that you upgrade your apache2 packages.
This update also contains updated apache2-mpm-itk packages which have
been recompiled against the updated apache2 packages. The new version
number for the oldstable distribution is 2.2.6-02-1+lenny7. In the
stable distribution, apache2-mpm-itk has the same version number as
apache2.Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: debian.org/security/Mailing list: debian-security-announce@lists.debian.org [/quote]
[quote]- -------------------------------------------------------------------------
Debian Security Advisory DSA-2403-2 security@debian.org
debian.org/security/ Thijs Kinkhorst
February 06, 2012 debian.org/security/faq
Package : php5
Vulnerability : code injection
Problem type : remote
Debian-specific: no
CVE ID : CVE-2012-0830
Stefan Esser discovered that the implementation of the max_input_vars
configuration variable in a recent PHP security update was flawed such
that it allows remote attackers to crash PHP or potentially execute
code.
This update adds packages for the oldstable distribution, which were
missing from the original advisory. The problem has been fixed in
version 5.2.6.dfsg.1-1+lenny16, installed into the security archive
on 3 Feb 2012.
For the stable distribution (squeeze), this problem has been fixed in
version 5.3.3-7+squeeze7.
For the unstable distribution (sid), this problem has been fixed in
version 5.3.10-1.
We recommend that you upgrade your php5 packages.
Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: debian.org/security/
Mailing list: debian-security-announce@lists.debian.org
[/quote]
Salut,
[quote]Bulletin d’alerte Debian
DSA-2406-1 icedove – Plusieurs vulnérabilités
Date du rapport :
9 février 2012
Paquets concernés :
icedove
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-3670, CVE-2012-0442, CVE-2012-0444, CVE-2012-0449.
Plus de précisions :
Plusieurs vulnérabilités ont été découvertes dans Icedove, la variante Debian de Mozilla Thunderbird.
CVE-2011-3670
Icedove n’impose pas correctement la syntaxe d’adresse littérale IPv6. Cela permet aux attaquants distants d’obtenir des renseignements sensibles en réalisant des appels XMLHttpRequest par l’intermédiaire d’un serveur mandataire (proxy) et en lisant les messages d’erreur.
CVE-2012-0442
Des bogues de corruption de mémoire pourraient forcer Icedove à planter ou éventuellement exécuter du code arbitraire.
CVE-2012-0444
Icedove n’initialise pas correctement les structures de données nsChildView. Cela permet aux attaquants distants de provoquer un déni de service (corruption de mémoire et plantage d’application) ou éventuellement exécuter du code arbitraire à l’aide d’un fichier Ogg Vorbis contrefait.
CVE-2012-0449
Icedove permet aux attaquants distants de provoquer un déni de service (corruption de mémoire et plantage d’application) ou éventuellement exécuter du code arbitraire à l’aide d’une feuille de style XSLT contrefaite et intégrée dans un document.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze7.
Nous vous recommandons de mettre à jour vos paquets icedove.[/quote]
[quote]Bulletin d’alerte Debian
DSA-2407-1 cvs – Dépassement de zone de mémoire du système
Date du rapport :
9 février 2012
Paquets concernés :
cvs
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0804.
Plus de précisions :
Un serveur CVS malveillant pourrait provoquer un dépassement de tas dans le client CVS, permettant éventuellement au serveur d’exécuter du code arbitraire sur le client.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:1.12.13-12+squeeze1.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2:1.12.13+real-7.
Nous vous recommandons de mettre à jour vos paquets cvs.[/quote]
au taquet loreleil pour les alertes de sécu 
Dans la mesure où ma disponibilité n’est pas à temps complet pour Debian-fr … 
Mieux vaut tard que jamais …
Salut,
[quote]Bulletin d’alerte Debian
DSA-2408-1 php5 – Plusieurs vulnérabilités
Date du rapport :
13 février 2012
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-1072, CVE-2011-4153, CVE-2012-0781, CVE-2012-0788, CVE-2012-0831.
Plus de précisions :
Plusieurs vulnérabilités ont été découvertes dans PHP, le langage de script web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
CVE-2011-1072
Un traitement non sécurisé de fichiers temporaire découvert dans l’installateur PEAR pourrait conduire à un déni de service.
CVE-2011-4153
Maksymilian Arciemowicz a découvert qu’un déréférencement de pointeur NULL dans la fonction zend_strndup() pourrait conduire à un déni de service.
CVE-2012-0781
Maksymilian Arciemowicz a découvert qu’un déréférencement de pointeur NULL dans la fonction tidy_diagnose() pourrait conduire à un déni de service.
CVE-2012-0788
Des vérifications manquantes dans le traitement d’objets PDORow pourraient conduire à un déni de service.
CVE-2012-0831
le réglage magic_quotes_gpc pourrait être désactivé à distance.
Cette mise à jour s’occupe aussi de bogues de PHP, qui ne sont pas vraiment considérés comme des problèmes de sécurité dans Debian (consultez README.Debian.security), mais qui ont été corrigés quand même : CVE-2010-4697, CVE-2011-1092, CVE-2011-1148, CVE-2011-1464, CVE-2011-1467 CVE-2011-1468, CVE-2011-1469, CVE-2011-1470, CVE-2011-1657, CVE-2011-3182 CVE-2011-3267
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 5.3.3-7+squeeze8.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.3.10-1.
Nous vous recommandons de mettre à jour vos paquets php5.[/quote]
Salut,
[quote]- -------------------------------------------------------------------------
Debian Security Advisory DSA-2410-1 security@debian.org
debian.org/security/ Moritz Muehlenhoff
February 15, 2012 debian.org/security/faq
Package : libpng
Vulnerability : integer overflow
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-3026
Jueri Aedla discovered an integer overflow in the libpng PNG library,
which could lead to the execution of arbitrary code if a malformed
image is processed.
For the stable distribution (squeeze), this problem has been fixed in
version 1.2.44-1+squeeze2.
For the unstable distribution (sid), this problem will be fixed soon.
We recommend that you upgrade your libpng packages.
Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: debian.org/security/
Mailing list: debian-security-announce@lists.debian.org
[/quote]
Salut,
[21 février 2012] DSA-2414 fex - Vérification d’entrées manquante
[20 février 2012] DSA-2413 libarchive - Dépassements de tampon
[19 février 2012] DSA-2412 libvorbis - Dépassement de tampon
[19 février 2012] DSA-2411 mumble - Divulgation d’informations
A vos upgrade!
Salut,
Et de deux:
[22 février 2012] DSA-2417 libxml2 - Déni de service dû au calcul
[21 février 2012] DSA-2415 libmodplug - Plusieurs vulnérabilités