[ddr] webwml security/2004/dsa-419 et 20.wml
Bonjour tout le monde,
Merci à olivier Trichet pour ses relectures.
Merci de mettre ces fichiers dans le cvs, Thomas.
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Contrôle incorrect sur les entrées</define-tag>
<define-tag moreinfo>
<p>Steve Kemp a découvert un problème de sécurité dans <i>jitterbug</i>, un
outil simple de suivi de bogues basé sur du CGI. Malheureusement, le
programme ne vérifie pas correctement les entrées, ce qui permet à un
attaquant d'exécuter n'importe quelle commande sur le serveur hébergeant la
base de données de bogues. Par contre, comme circonstance atténuante, ces
attaques sont seulement possibles par des utilisateurs autorisés et
dont les comptes créés par un administrateur témoignent de leur confiance.</p>
<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a été
corrigé dans la version 1.6.2-4.2woody2.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 1.6.2-4.5.</p>
<p>Nous vous recommandons de mettre à jour votre paquet jitterbug.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-420.data"
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force"
<define-tag description>Manque de vérification sur les noms de fichier et injection SQL</define-tag>
<define-tag moreinfo>
<p>Les auteurs de <i>phpgroupware</i>, un collecticiel basé sur une interface
web écrit en PHP, ont découvert plusieurs failles de sécurité. Le projet
<i>Common Vulnerabilities and Exposures</i> identifie les problèmes
suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0016">CAN-2004-0016</a>
<p>Dans le module <i>calendar</i>, <i>save extension</i> n'était pas
correctement écrit pour les fichiers de vacances. Par conséquent, les
scripts php du côté serveur pouvaient être placés dans
dans des répertoires qui seraient alors accessibles à distance et rendus
exécutables par le serveur web. Ceci a été corrigé en utilisant l'extension
<i>.txt</i> pour ce genre de fichiers ;</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0017">CAN-2004-0017</a>
<p>Quelques problèmes d'injection SQL (comme l'utilisation de certains
caractères spéciaux dans les chaînes de caractères SQL) dans les modules
<i>calendar</i> et <i>infolog</i>.</p>
</ul>
<p>De plus, le responsable Debian a adjusté les permissions d'accès pour
tous sur des répertoires accenditellement configurés comme accessibles en
écriture par un ancien script de post-installation.</p>
<p>Pour la distribution stable actuelle (<i>Woody</i>), ce problème a été
corrigé dans la version 0.9.14-0.RC3.2.woody3.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 0.9.14.007-4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets phpgroupware,
phpgroupware-calendar et phpgroupware-infolog.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-419.data"
Reply to: