[ddr] webwml security/2004/dsa-419 et 20.wml

To: Debian FR <debian-l10n-french@lists.debian.org>
Subject: [ddr] webwml security/2004/dsa-419 et 20.wml
From: Thomas Marteau <marteaut@tuxfamily.org>
Date: Sat, 17 Jan 2004 15:07:45 +0100
Message-id: <[🔎] 400941B1.8080204@tuxfamily.org>

Bonjour tout le monde,

J'essaie d'aider Clément dans le retard.

Merci de vos relectures, Thomas.

#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Manque de vérification sur les noms de fichier et injection SQL</define-tag>
<define-tag moreinfo>
<p>Les auteurs de <i>phpgroupware</i>, un collecticiel basé sur une interface 
web écrit en PHP, ont découvert plusieurs failles de sécurité.  Le projet
<i>Common Vulnerabilities and Exposures</i> identifie les problèmes
suivants&nbsp;;:</p>

<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0016";>CAN-2004-0016</a>

<p>Dans le module <i>calendar</i>, <i>save extension</i> n'était pas 
  correctement écrit pour les fichiers de vacances. Par conséquent, les 
  scripts php du côté serveur pouvaient être placés dans 
  dans des répertoires qui seraient alors accessibles à distance et rendus
  exécutables par le serveur web. Ceci a été corrigé en utilisant l'extension
  <i>.txt</i> pour ce genre de fichiers&nbsp;;</p>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0017";>CAN-2004-0017</a>

  <p>Quelques problèmes d'injection SQL (comme l'utilisation de certains 
  caractères spéciaux dans les chaînes de caractères SQL) dans les modules 
  <i>calendar</i> et <i>infolog</i>.</p>
</ul>

<p>De plus, le responsable Debian a adjusté les permissions en accessible pour
tous sur des répertoires configurés comme accessibles en écriture 
accidentellement par un ancien script de post-installation.</p>

<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a
corrigé dans la version&nbsp;0.9.14-0.RC3.2.woody3.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version&nbsp;0.9.14.007-4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets phpgroupware, 
phpgroupware-calendar et phpgroupware-infolog.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-419.data"

#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Contrôle incorrect sur les entrées</define-tag>
<define-tag moreinfo>
<p>Steve Kemp a découvert un problème de sécurité dans <i>jitterbug</i>, un
outil simple de suivi de bogues basé sur du CGI. Malheureusement, le
programme ne vérifie pas correctement les entrées, ce qui permet à un
attaquant d'exécuter n'importe quelle commande sur le serveur hébergeant la
base de données de bogues. Par contre, comme circonstance atténuante, ces 
attaques sont seulement disponibles par des utilisateurs autorisés.</p>

<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a
corrigé dans la version&nbsp;1.6.2-4.2woody2.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version&nbsp;1.6.2-4.5.</p>

<p>Nous vous recommandons de mettre à jour votre paquet jitterbug.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-420.data"

Reply to:

Prev by Date: Re: Page d'état automatique
Next by Date: Re: Page d'état automatique
Previous by thread: Debian WWW CVS commit by bertol: webwml/french/devel/debian-installer index.wml
Next by thread: [ddr] webwml security/2004/dsa-419 et 20.wml
Index(es):
- Date
- Thread