[ddr] webwml security/2004/dsa-419 et 20.wml

To: Debian FR <debian-l10n-french@lists.debian.org>
Subject: [ddr] webwml security/2004/dsa-419 et 20.wml
From: Thomas Marteau <marteaut@tuxfamily.org>
Date: Sun, 18 Jan 2004 01:44:54 +0100
Message-id: <[🔎] 4009D706.3080206@tuxfamily.org>

Bonjour tout le monde,

Merci à olivier Trichet pour ses relectures.

Merci de mettre ces fichiers dans le cvs, Thomas.

#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Contrôle incorrect sur les entrées</define-tag>
<define-tag moreinfo>
<p>Steve Kemp a découvert un problème de sécurité dans <i>jitterbug</i>, un
outil simple de suivi de bogues basé sur du CGI. Malheureusement, le
programme ne vérifie pas correctement les entrées, ce qui permet à un
attaquant d'exécuter n'importe quelle commande sur le serveur hébergeant la
base de données de bogues. Par contre, comme circonstance atténuante, ces 
attaques sont seulement possibles par des utilisateurs autorisés et 
dont les comptes créés par un administrateur témoignent de leur confiance.</p>

<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a été
corrigé dans la version&nbsp;1.6.2-4.2woody2.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version&nbsp;1.6.2-4.5.</p>

<p>Nous vous recommandons de mettre à jour votre paquet jitterbug.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-420.data"

#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Manque de vérification sur les noms de fichier et injection SQL</define-tag>
<define-tag moreinfo>
<p>Les auteurs de <i>phpgroupware</i>, un collecticiel basé sur une interface 
web écrit en PHP, ont découvert plusieurs failles de sécurité.  Le projet
<i>Common Vulnerabilities and Exposures</i> identifie les problèmes
suivants&nbsp;:</p>

<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0016";>CAN-2004-0016</a>

<p>Dans le module <i>calendar</i>, <i>save extension</i> n'était pas 
  correctement écrit pour les fichiers de vacances. Par conséquent, les 
  scripts php du côté serveur pouvaient être placés dans 
  dans des répertoires qui seraient alors accessibles à distance et rendus
  exécutables par le serveur web. Ceci a été corrigé en utilisant l'extension
  <i>.txt</i> pour ce genre de fichiers&nbsp;;</p>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0017";>CAN-2004-0017</a>

  <p>Quelques problèmes d'injection SQL (comme l'utilisation de certains 
  caractères spéciaux dans les chaînes de caractères SQL) dans les modules 
  <i>calendar</i> et <i>infolog</i>.</p>
</ul>

<p>De plus, le responsable Debian a adjusté les permissions d'accès pour
tous sur des répertoires accenditellement configurés comme accessibles en 
écriture par un ancien script de post-installation.</p>

<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a été
corrigé dans la version&nbsp;0.9.14-0.RC3.2.woody3.</p>

<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version&nbsp;0.9.14.007-4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets phpgroupware, 
phpgroupware-calendar et phpgroupware-infolog.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-419.data"

Reply to:

Prev by Date: Re: The Plan
Next by Date: [d-i] Etat dans le CVS des questionnaires debconf 2004/01/18
Previous by thread: [ddr] webwml security/2004/dsa-419 et 20.wml
Next by thread: The Plan (was: Re: Re: Page d'état automatique ...)
Index(es):
- Date
- Thread