Re: [LCFC2] wml://security/2012/dsa-258{3,4}.wml

2012-12-14 Par sujet Stéphane Blondon 
Le 13 décembre 2012 23:28, David Prévot da...@tilapin.org a écrit :
 Doublement intégré, merci, et merci d'avance pour vos dernières remarques.

Juste un détail (à reporter aussi sur dsa-2584).


-- 
Imprimez ce message en A2 et en couleur au moins 500 fois!
Brûlez des arbres!!

-- envoyé depuis ma centrale à charbon
Stéphane


dsa-2583.wml.stephane.diff
Description: Binary data

[LCFC2] wml://security/2012/dsa-258{3,4}.wml

2012-12-13 Par sujet David Prévot 
Salut,

Le 13/12/2012 17:48, Cédric Boutillier a écrit :

 Selon tes recommandations, un seul diff à appliquer deux fois :)

Doublement intégré, merci, et merci d'avance pour vos dernières remarques.

Amicalement

David

#use wml::debian::translation-check translation=1.1 maintainer=David Prévot
define-tag descriptionPlusieurs vulnérabilités/define-tag
define-tag moreinfo
p
Plusieurs vulnérabilités ont été découvertes dans Iceweasel,
le navigateur web de Debian basé sur Firefox de Mozilla.
/p

ul

lia href=http://security-tracker.debian.org/tracker/CVE-2012-5829;CVE-2012-5829/a
p
Un dépassement de tampon de tas dans la fonction nsWindow::OnExposeEvent
pourrait permettre aux attaquants distants d'exécuter du code arbitraire.
/p/li

lia href=http://security-tracker.debian.org/tracker/CVE-2012-5842;CVE-2012-5842/a
p
Plusieurs vulnérabilités non précisées dans le moteur du
navigateur pourraient permettre aux attaquants distants de
provoquer un déni de service (corruption de mémoire et plantage
d'application) ou éventuellement exécuter du code arbitraire.
/p/li

lia href=http://security-tracker.debian.org/tracker/CVE-2012-4207;CVE-2012-4207/a
p
L'implémentation de jeu de caractères HZ-GB-2312 ne traite pas
correctement un caractère ~ (tilde) à proximité d'un délimiteur de morceau.

Cela permet aux attaquants distants de réaliser des attaques
par script intersite (XSS) à l'aide d'un document contrefait.
/p/li

lia href=http://security-tracker.debian.org/tracker/CVE-2012-4201;CVE-2012-4201/a
p
L'implémentation evalInSandbox utilise un contexte incorrect lors du
traitement de code JavaScript qui définit la propriété location.href.

Cela permet aux attaquants distants de réaliser des
attaques par script intersite (XSS) ou de lire des fichiers
arbitraires en tirant parti d'un greffon du bac à sable.
/p/li

lia href=http://security-tracker.debian.org/tracker/CVE-2012-4216;CVE-2012-4216/a
p
Une vulnérabilité d'utilisation de mémoire après libération dans
la fonction gfxFont::GetFontEntry permet aux attaquants distants
d'exécuter du code arbitraire ou de provoquer un déni de service
(corruption de mémoire de tas) par des moyens non précisés.
/p/li

/ul

pPour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.5.16-20./p

pPour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 10.0.11esr-1./p

pPour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 10.0.11esr-1./p

pNous vous recommandons de mettre à jour vos paquets iceweasel./p
/define-tag

# do not modify the following line
#include $(ENGLISHDIR)/security/2012/dsa-2583.data
# $Id: dsa-2583.wml,v 1.3 2012-12-13 22:26:53 taffit Exp $
#use wml::debian::translation-check translation=1.2 maintainer=David Prévot
define-tag descriptionPlusieurs vulnérabilités/define-tag
define-tag moreinfo
p
Plusieurs vulnérabilités ont été découvertes dans Iceape,
la suite Internet de Debian basée sur Seamonkey de Mozilla.
/p

ul

lia href=http://security-tracker.debian.org/tracker/CVE-2012-5829;CVE-2012-5829/a
p
Un dépassement de tampon de tas dans la fonction nsWindow::OnExposeEvent
pourrait permettre aux attaquants distants d'exécuter du code arbitraire.
/p/li

lia href=http://security-tracker.debian.org/tracker/CVE-2012-5842;CVE-2012-5842/a
p
Plusieurs vulnérabilités non précisées dans le moteur du
navigateur pourraient permettre aux attaquants distants de
provoquer un déni de service (corruption de mémoire et plantage
d'application) ou éventuellement exécuter du code arbitraire.
/p/li

lia href=http://security-tracker.debian.org/tracker/CVE-2012-4207;CVE-2012-4207/a
p
L'implémentation de jeu de caractères HZ-GB-2312 ne traite pas
correctement un caractère ~ (tilde) à proximité d'un délimiteur de morceau.

Cela permet aux attaquants distants de réaliser des attaques
par script intersite (XSS) à l'aide d'un document contrefait.
/p/li

lia href=http://security-tracker.debian.org/tracker/CVE-2012-4201;CVE-2012-4201/a
p
L'implémentation evalInSandbox utilise un contexte incorrect lors du
traitement de code JavaScript qui définit la propriété location.href.

Cela permet aux attaquants distants de réaliser des
attaques par script intersite (XSS) ou de lire des fichiers
arbitraires en tirant parti d'un greffon du bac à sable.
/p/li

lia href=http://security-tracker.debian.org/tracker/CVE-2012-4216;CVE-2012-4216/a
p
Une vulnérabilité d'utilisation de mémoire après libération dans
la fonction gfxFont::GetFontEntry permet aux attaquants distants
d'exécuter du code arbitraire ou de provoquer un déni de service
(corruption de mémoire de tas) par des moyens non précisés.
/p/li

/ul

pPour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.0.11-17./p

pPour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 2.7.11-1./p

pPour la