[ddr] webwml security/2004/dsa-419 et 20.wml
Bonjour tout le monde,
J'essaie d'aider Clément dans le retard.
Merci de vos relectures, Thomas.
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Manque de vérification sur les noms de fichier et injection SQL</define-tag>
<define-tag moreinfo>
<p>Les auteurs de <i>phpgroupware</i>, un collecticiel basé sur une interface
web écrit en PHP, ont découvert plusieurs failles de sécurité. Le projet
<i>Common Vulnerabilities and Exposures</i> identifie les problèmes
suivants ;:</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0016">CAN-2004-0016</a>
<p>Dans le module <i>calendar</i>, <i>save extension</i> n'était pas
correctement écrit pour les fichiers de vacances. Par conséquent, les
scripts php du côté serveur pouvaient être placés dans
dans des répertoires qui seraient alors accessibles à distance et rendus
exécutables par le serveur web. Ceci a été corrigé en utilisant l'extension
<i>.txt</i> pour ce genre de fichiers ;</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0017">CAN-2004-0017</a>
<p>Quelques problèmes d'injection SQL (comme l'utilisation de certains
caractères spéciaux dans les chaînes de caractères SQL) dans les modules
<i>calendar</i> et <i>infolog</i>.</p>
</ul>
<p>De plus, le responsable Debian a adjusté les permissions en accessible pour
tous sur des répertoires configurés comme accessibles en écriture
accidentellement par un ancien script de post-installation.</p>
<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a
corrigé dans la version 0.9.14-0.RC3.2.woody3.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 0.9.14.007-4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets phpgroupware,
phpgroupware-calendar et phpgroupware-infolog.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-419.data"
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Contrôle incorrect sur les entrées</define-tag>
<define-tag moreinfo>
<p>Steve Kemp a découvert un problème de sécurité dans <i>jitterbug</i>, un
outil simple de suivi de bogues basé sur du CGI. Malheureusement, le
programme ne vérifie pas correctement les entrées, ce qui permet à un
attaquant d'exécuter n'importe quelle commande sur le serveur hébergeant la
base de données de bogues. Par contre, comme circonstance atténuante, ces
attaques sont seulement disponibles par des utilisateurs autorisés.</p>
<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a
corrigé dans la version 1.6.2-4.2woody2.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 1.6.2-4.5.</p>
<p>Nous vous recommandons de mettre à jour votre paquet jitterbug.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-420.data"
Reply to: