MAJs de securité

ricardo · Février 21, 2016, 12:23pm

[quote=“lol”]Salut,

[2 juin 2012] DSA-2484 nut - Déni de service
[2 juin 2012] DSA-2482 libgdata - Validation insuffisante de certificat
[2 juin 2012] DSA-2481 arpwatch - Échec d’abandon de groupes supplémentaires
[31 mai 2012] DSA-2483 strongswan - Contournement d’authentification[/quote]
Au sujet d’arpwatch, la MAJ est annoncée comme boguée
Je ne comprends pas que Debian annonce une MAJ de sécurité alors qu’un bogue y est encore présent

lol · Février 21, 2016, 12:23pm

[quote=“ricardo”][2 juin 2012] DSA-2481 arpwatch - Échec d’abandon de groupes supplémentaires
Au sujet d’arpwatch, la MAJ est annoncée comme boguée
Je ne comprends pas que Debian annonce une MAJ de sécurité alors qu’un bogue y est encore présent [/quote]

Effectivement. Et ce serait corrigé seulement en testing… [quote]Corrigé : arpwatch/2.1a15-1.2[/quote]

ricardo · Février 21, 2016, 12:23pm

C’est tout chaud :

/etc/cron.daily/apt-listbugs: Fixed packages : libmysqlclient18

loreleil · Février 21, 2016, 12:24pm

Salut,

Elle est belle celle là …

Les paquets suivants seront mis à jour : bind9 bind9-doc bind9-host bind9utils dnsutils host libbind9-60 libdns69 libisc62 libisccc60 libisccfg62 liblwres60 lwresd 13 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour. Il est nécessaire de télécharger 2 375 ko d'archives. Après dépaquetage, 115 ko seront libérés. Voulez-vous continuer ? [Y/n/?] y Prendre : 1 http://security.debian.org/ squeeze/updates/main lwresd amd64 1:9.7.3.dfsg-1~squeeze5 [243 kB] Prendre : 2 http://security.debian.org/ squeeze/updates/main bind9 amd64 1:9.7.3.dfsg-1~squeeze5 [355 kB] Prendre : 3 http://security.debian.org/ squeeze/updates/main libisccc60 amd64 1:9.7.3.dfsg-1~squeeze5 [33,2 kB] Prendre : 4 http://security.debian.org/ squeeze/updates/main dnsutils amd64 1:9.7.3.dfsg-1~squeeze5 [164 kB] Prendre : 5 http://security.debian.org/ squeeze/updates/main bind9-host amd64 1:9.7.3.dfsg-1~squeeze5 [71,1 kB] Prendre : 6 http://security.debian.org/ squeeze/updates/main libisccfg62 amd64 1:9.7.3.dfsg-1~squeeze5 [57,6 kB] Prendre : 7 http://security.debian.org/ squeeze/updates/main liblwres60 amd64 1:9.7.3.dfsg-1~squeeze5 [52,4 kB] Prendre : 8 http://security.debian.org/ squeeze/updates/main bind9utils amd64 1:9.7.3.dfsg-1~squeeze5 [122 kB] Prendre : 9 http://security.debian.org/ squeeze/updates/main libisc62 amd64 1:9.7.3.dfsg-1~squeeze5 [175 kB] Prendre : 10 http://security.debian.org/ squeeze/updates/main host all 1:9.7.3.dfsg-1~squeeze5 [18,0 kB] Prendre : 11 http://security.debian.org/ squeeze/updates/main libdns69 amd64 1:9.7.3.dfsg-1~squeeze5 [709 kB] Prendre : 12 http://security.debian.org/ squeeze/updates/main libbind9-60 amd64 1:9.7.3.dfsg-1~squeeze5 [38,5 kB] Prendre : 13 http://security.debian.org/ squeeze/updates/main bind9-doc all 1:9.7.3.dfsg-1~squeeze5 [336 kB]

ricardo · Février 21, 2016, 12:24pm

initscripts sorti de prison ce matin

/etc/cron.daily/apt-listbugs: Fixed packages : initscripts

loreleil · Février 21, 2016, 12:24pm

Salut,

[size=200]o[/size][size=150]o[/size]o …

[quote][SECURITY] [DSA 2487-1] openoffice.org security update
[/quote]

~# Les paquets suivants seront mis à jour : openoffice.org openoffice.org-base openoffice.org-base-core openoffice.org-calc openoffice.org-common openoffice.org-core openoffice.org-draw openoffice.org-emailmerge openoffice.org-filter-binfilter openoffice.org-filter-mobiledev openoffice.org-gcj openoffice.org-help-en-us openoffice.org-help-fr openoffice.org-impress openoffice.org-java-common openoffice.org-kde openoffice.org-l10n-fr openoffice.org-math openoffice.org-officebean openoffice.org-report-builder-bin openoffice.org-style-galaxy openoffice.org-style-oxygen openoffice.org-writer python-uno ttf-opensymbol uno-libs3 ure 27 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 1 non mis à jour. Il est nécessaire de télécharger 0 o/169 Mo d'archives. Après dépaquetage, 3 125 ko seront libérés. Voulez-vous continuer ? [Y/n/?] y Lecture des champs des paquets... Fait Lecture de l'état des paquets... Fait Récupération des rapports de bogue... Fait Analyse des informations Trouvé/Corrigé... Fait Lecture des fichiers de modifications (« changelog »)... Terminé

loreleil · Février 21, 2016, 12:24pm

Salut,

Rhôooo …

Les paquets suivants seront mis à jour : libmozjs2d xulrunner-1.9.1 2 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 1 non mis à jour. Il est nécessaire de télécharger 7 759 ko d'archives. Après dépaquetage, 0 o seront utilisés. Voulez-vous continuer ? [Y/n/?] y Prendre : 1 http://security.debian.org/ squeeze/updates/main libmozjs2d i386 1.9.1.16-16 [492 kB] Prendre : 2 http://security.debian.org/ squeeze/updates/main xulrunner-1.9.1 i386 1.9.1.16-16 [7 267 kB] 7 759 ko téléchargés en 8s (877 ko/s)

lol · Février 21, 2016, 12:25pm

Salut,
[7 juin 2012] DSA-2490 nss - Déni de service
[7 juin 2012] DSA-2489 iceape - Plusieurs vulnérabilités
[7 juin 2012] DSA-2488 iceweasel - Plusieurs vulnérabilités
[7 juin 2012] DSA-2487 openoffice.org - Dépassement de tampon

Petit rappel: FAITES VOS MAJ DE SéCURITé!

loreleil · Février 21, 2016, 12:25pm

Salut,

[SECURITY] [DSA 2492-1] php5 security update

[code]Les paquets suivants seront mis à jour :
libapache2-mod-php5 php-pear php5 php5-cli php5-common php5-gd php5-mysql
Les paquets suivants sont RECOMMANDÉS mais ne seront pas installés :
php5-suhosin
…
http://security.debian.org/ squeeze/updates/main php5-cli amd64 5.3.3-7+squeeze13 [2 944 kB]
http://security.debian.org/ squeeze/updates/main php5-mysql amd64 5.3.3-7+squeeze13 [76,7 kB]
http://security.debian.org/ squeeze/updates/main php5-gd amd64 5.3.3-7+squeeze13 [39,1 kB]
http://security.debian.org/ squeeze/updates/main libapache2-mod-php5 amd64 5.3.3-7+squeeze13 [3 038 kB]
http://security.debian.org/ squeeze/updates/main php5-common amd64 5.3.3-7+squeeze13 [553 kB]
http://security.debian.org/ squeeze/updates/main php-pear all 5.3.3-7+squeeze13 [359 kB]
http://security.debian.org/ squeeze/updates/main php5 all 5.3.3-7+squeeze13 [1 058 B]

[/code]

ricardo · Février 21, 2016, 12:25pm

/etc/cron.daily/apt-listbugs:
Fixed packages : samba

loreleil · Février 21, 2016, 12:28pm

Salut,

Mysql-server!

Les paquets suivants seront mis à jour : libmysqlclient16 mysql-client-5.1 mysql-common mysql-server 4 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 1 non mis à jour. Il est nécessaire de télécharger 12,1 Mo d'archives. Après dépaquetage, 0 o seront utilisés. Voulez-vous continuer ? [Y/n/?] y Prendre : 1 http://security.debian.org/ squeeze/updates/main mysql-common all 5.1.63-0+squeeze1 [70,1 kB] Prendre : 2 http://security.debian.org/ squeeze/updates/main libmysqlclient16 amd64 5.1.63-0+squeeze1 [1 971 kB] Prendre : 3 http://security.debian.org/ squeeze/updates/main mysql-client-5.1 amd64 5.1.63-0+squeeze1 [10,0 MB] Prendre : 4 http://security.debian.org/ squeeze/updates/main mysql-server all 5.1.63-0+squeeze1 [63,9 kB] 12,1 Mo téléchargés en 2s (4 927 ko/s) Lecture des champs des paquets... Fait Lecture de l'état des paquets... Fait Récupération des rapports de bogue... Fait Analyse des informations Trouvé/Corrigé... Fait Bogues de gravité critical sur libmysqlclient16 (5.1.61-0+squeeze1 -> 5.1.63-0+squeeze1) <non corrigé> #663438 - libmysqlclient: missing symbols __aeabi_d2lz (on armel) Bogues de gravité serious sur mysql-client-5.1 (5.1.61-0+squeeze1 -> 5.1.63-0+squeeze1) <non corrigé> #677057 - mysql-client-5.1: uninstallable because mysql-common Breaks: mysql-client-5.1 (<< 5.5) Résumé : mysql-client-5.1(1 bogue), libmysqlclient16(1 bogue) Êtes-vous certain de vouloir installer/mettre à jour les paquets ci-dessus ? [Y/n/?/...] p Le 2 paquet suivant sera figé ou mis en attente : mysql-client-5.1, libmysqlclient16 Êtes-vous certain ?[Y/n]? y

Pensez à vos MAJ …

lol · Février 21, 2016, 12:45pm

Salut,
faut pas s’endormir les p’tits gars!!! A vos mises-à-jour…

[8 juillet 2012] DSA-2509 pidgin - remote code execution
[4 juillet 2012] DSA-2507 openjdk-6 - Plusieurs vulnérabilités
[2 juillet 2012] DSA-2506 libapache-mod-security - Contournement de ModSecurity
[29 juin 2012] DSA-2505 zendframework - Divulgation d’informations
[28 juin 2012] DSA-2504 libspring-2.5-java - Divulgation d’informations
[28 juin 2012] DSA-2503 bcfg2 - Injection de commande d’interpréteur
[24 juin 2012] DSA-2502 python-crypto - Erreur de programmation
[24 juin 2012] DSA-2501 xen - Plusieurs vulnérabilités
[24 juin 2012] DSA-2500 mantis - Plusieurs vulnérabilités
[24 juin 2012] DSA-2499 icedove - Plusieurs vulnérabilités
[23 juin 2012] DSA-2498 dhcpcd - Dépassement de tas à distance
[20 juin 2012] DSA-2497 quagga - Déni de service

lol · Février 21, 2016, 12:52pm

Salut,
Quelques MAJ importantes:

[26 juillet 2012] DSA-2516 isc-dhcp - Plusieurs vulnérabilités
[22 juillet 2012] DSA-2508 kfreebsd-8 - Augmentation de droits
[19 juillet 2012] DSA-2515 nsd3 - Déréférencement de pointeur NULL
[17 juillet 2012] DSA-2514 iceweasel - Plusieurs vulnérabilités
[17 juillet 2012] DSA-2513 iceape - Plusieurs vulnérabilités
[12 juillet 2012] DSA-2512 mono - Absence de vérification des entrées
[12 juillet 2012] DSA-2511 puppet - Plusieurs vulnérabilités
[12 juillet 2012] DSA-2510 extplorer - Contrefaçon de requête intersite

ricardo · Février 21, 2016, 1:10pm

Sortie de listbugs :/etc/cron.daily/apt-listbugs: Fixed packages : kde-config-gtk-style

ricardo · Février 21, 2016, 1:14pm

un gros paquet de MAJ aujourd’hui :

Inst bind9-host [1:9.7.3.dfsg-1~squeeze6] (1:9.7.3.dfsg-1~squeeze7 Debian-Security:6.0/stable [amd64]) [] Inst dnsutils [1:9.7.3.dfsg-1~squeeze6] (1:9.7.3.dfsg-1~squeeze7 Debian-Security:6.0/stable [amd64]) [] Inst libisc62 [1:9.7.3.dfsg-1~squeeze6] (1:9.7.3.dfsg-1~squeeze7 Debian-Security:6.0/stable [amd64]) [] Inst libdns69 [1:9.7.3.dfsg-1~squeeze6] (1:9.7.3.dfsg-1~squeeze7 Debian-Security:6.0/stable [amd64]) [] Inst libisccc60 [1:9.7.3.dfsg-1~squeeze6] (1:9.7.3.dfsg-1~squeeze7 Debian-Security:6.0/stable [amd64]) [] Inst libisccfg62 [1:9.7.3.dfsg-1~squeeze6] (1:9.7.3.dfsg-1~squeeze7 Debian-Security:6.0/stable [amd64]) [] Inst liblwres60 [1:9.7.3.dfsg-1~squeeze6] (1:9.7.3.dfsg-1~squeeze7 Debian-Security:6.0/stable [amd64]) [] Inst libbind9-60 [1:9.7.3.dfsg-1~squeeze6] (1:9.7.3.dfsg-1~squeeze7 Debian-Security:6.0/stable [amd64])

ricardo · Février 21, 2016, 1:17pm

/etc/cron.daily/apt-listbugs:
sysv-rc has been fixed

loreleil · Février 21, 2016, 1:17pm

Salut,

[SECURITY] [DSA 2553-1] iceweasel security update

[quote]Package : iceweasel
Vulnerability : several
Problem type : remote
Debian-specific: no
CVE ID : CVE-2012-1970 CVE-2012-1972 CVE-2012-1973 CVE-2012-1974
CVE-2012-1975 CVE-2012-1976 CVE-2012-3959 CVE-2012-3962
CVE-2012-3969 CVE-2012-3972 CVE-2012-3978

Several vulnerabilities have been discovered in Iceweasel, a web
browser based on Firefox. The included XULRunner library provides
rendering services for several other applications included in Debian.

The reported vulnerabilities could lead to the execution of arbitrary
code or the bypass of content-loading restrictions via the location
object.

For the stable distribution (squeeze), these problems have been fixed in
version 3.5.16-18.

For the testing distribution (wheezy), these problems have been fixed in
version 10.0.7esr-2.

For the unstable distribution (sid), these problems have been fixed in
version 10.0.7esr-2.

We recommend that you upgrade your iceweasel packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: debian.org/security/[/quote]

Prendre : 1 http://security.debian.org/ squeeze/updates/main xulrunner-1.9.1 i386 1.9.1.16-18 [7 267 kB] Prendre : 2 http://security.debian.org/ squeeze/updates/main libmozjs2d i386 1.9.1.16-18 [493 kB] Prendre : 3 http://security.debian.org/ squeeze/updates/main iceweasel i386 3.5.16-18 [1 100 kB]

Ustilago · Février 21, 2016, 1:18pm

Bonjour,

3 alertes depuis hier :

[SECURITY] [DSA 2550-2] asterisk regression update

[quote]Package : asterisk
Vulnerability : several
Problem type : remote
Debian-specific: no
CVE ID : CVE-2012-2186 CVE-2012-3812 CVE-2012-3863 CVE-2012-4737

A regression in the SIP handling code was found in DSA-2550-1.

For the stable distribution (squeeze), this problem has been fixed in
version 1:1.6.2.9-2+squeeze8.[/quote]

[SECURITY] [DSA 2554-1] iceape security update

[quote]Package : iceape
Vulnerability : several
Problem type : remote
Debian-specific: no
CVE ID : CVE-2012-1970 CVE-2012-1972 CVE-2012-1973 CVE-2012-1974
CVE-2012-1975 CVE-2012-1976 CVE-2012-3959 CVE-2012-3962
CVE-2012-3969 CVE-2012-3972 CVE-2012-3978

Several vulnerabilities have been discovered in Iceape, an internet suite based
on Seamonkey.

The reported vulnerabilities could lead to the execution of arbitrary
code or the bypass of content-loading restrictions via the location
object.

For the stable distribution (squeeze), these problems have been fixed in
version 2.0.11-15.

For the testing distribution (wheezy), these problems have been fixed in
version 2.7.7-1.

For the unstable distribution (sid), these problems have been fixed in
version 2.7.7-1.[/quote]

[SECURITY] [DSA 2552-1] tiff security update

[quote]Package : tiff
Vulnerability : several
Problem type : remote
Debian-specific: no
CVE ID : CVE-2010-2482 CVE-2010-2595 CVE-2010-2597 CVE-2010-2630
CVE-2010-4665 CVE-2012-2113 CVE-2012-3401
Debian Bug : 678140

Several vulnerabilities were discovered in Tiff, a library set and tools
to support the Tag Image File Format (TIFF), allowing denial of service and
potential privilege escalation.

These vulnerabilities can be exploited via a specially crafted TIFF image.

CVE-2012-2113
The tiff2pdf utility has an integer overflow error when parsing images.

CVE-2012-3401
Huzaifa Sidhpurwala discovered heap-based buffer overflow in the
t2p_read_tiff_init() function.

CVE-2010-2482
An invalid td_stripbytecount field is not properly handle and can trigger a
NULL pointer dereference.

CVE-2010-2595
An array index error, related to “downsampled OJPEG input.” in the
TIFFYCbCrtoRGB function causes an unexpected crash.

CVE-2010-2597
Also related to “downsampled OJPEG input”, the TIFFVStripSize function crash
unexpectly.

CVE-2010-2630
The TIFFReadDirectory function does not properly validate the data types of
codec-specific tags that have an out-of-order position in a TIFF file.

CVE-2010-4665
The tiffdump utility has an integer overflow in the ReadDirectory function.

For the stable distribution (squeeze), these problems have been fixed in
version 3.9.4-5+squeeze5.

For the testing distribution (wheezy), these problems have been fixed in
version 4.0.2-2.

For the unstable distribution (sid), these problems have been fixed in
version 4.0.2-2.[/quote]

À vos apt-get/aptitude !

Usti

misaine · Février 21, 2016, 1:28pm

j’ai une grosse maj de proposé sur la stable, 46 paquets dont noyau libc6 linux-base etc…

edit: c’est passé tranquille et c’est en fait une nouvelle release

Debian GNU/Linux 6.0.6

lol · Février 21, 2016, 1:36pm

Salut,
Un paquet pour ce mois d’octobre:

[26 octobre 2012] DSA-2567 request-tracker3.8 - Plusieurs vulnérabilités
[25 octobre 2012] DSA-2566 exim4 - Dépassement de tampon basé sur le tas
[23 octobre 2012] DSA-2565 iceweasel - Plusieurs vulnérabilités
[23 octobre 2012] DSA-2564 tinyproxy - Déni de service
[23 octobre 2012] DSA-2563 viewvc - Plusieurs vulnérabilités
[23 octobre 2012] DSA-2562 cups-pk-helper - Augmentation de droits
[21 octobre 2012] DSA-2561 tiff - Dépassement de tampon
[20 octobre 2012] DSA-2560 bind9 - Déni de service
[11 octobre 2012] DSA-2559 libexif - Plusieurs vulnérabilités
[8 octobre 2012] DSA-2558 bacula - Divulgation d’informations
[8 octobre 2012] DSA-2557 hostapd - Dépassement de tampon
[7 octobre 2012] DSA-2556 icedove - Plusieurs vulnérabilités
[5 octobre 2012] DSA-2555 libxslt - Plusieurs vulnérabilités

La meilleure…
[26 octobre 2012] DSA-2568 rtfm - Augmentation de droits

Mettez à jour vos RTFM!