Le dimanche 27 février 2005 à 01:54 +0100, Simon Paillard a écrit : > Le jeudi 24 février 2005 à 18:12 +0100, Thomas Huriaux a écrit : > > Une relecture un peu tardive. > > Merci Thomas pour ta relecture. Et encore une mise à jour de la VO de dsa-674 :) Un saut de version pour dsa-688 vers la 1.2 serait également bienvenue (typo dans la VO) Merci d'avance au relecteurs et commiteur. -- Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.5" maintainer="DFS Task Force"
<define-tag description>Vulnérabilité de script sur les éléments dynamiques, traversée du répertoire</define-tag>
<define-tag moreinfo>
<p>En raison d'une incompatibilité entre Python 1.5 et 2.1, la
dernière mise à jour de mailman ne fonctionne plus avec Python 1.5. Cette
mise à jour corrige ce problème. Ce bulletin d'alerte actualise seulement les
paquets précédemment mis à jour dans le DSA 674-2. La version de la
distribution instable (<i>Sid</i>) n'est pas touchée puisqu'elle n'est plus
supposée fonctionner avec Python 1.5. Voici l'intégralité du bulletin
officiel :</p>
<blockquote>
<p>Deux problèmes liés à la sécurité ont été découverts dans mailman, le
gestionnaire web de listes de diffusion du projet GNU. Le projet « Common
Vulnerabilities and Exposures » a identifié les problèmes
suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1177";>CAN-2004-1177</a>
<p>Florian Weimer a découvert une vulnérabilité de script sur les
éléments dynamiques dans certains messages d'erreur automatiques de
mailman. Un attaquant pouvait concevoir une URL contenant du JavaScript
(ou d'autres contenus incorporés dans HTML) qui déclenchait une page
d'erreur mailman incluant le code malicieux tel quel.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0202";>CAN-2005-0202</a>
<p>Plusieurs administrateurs de gestionnaire de listes de diffusion ont
remarqué des accès non autorisés à des archives de listes privées et à
la configuration de la liste elle-même, incluant les mots de passe des
utilisateurs. On recommande aux administrateurs de vérifier dans les
journaux de leur serveur web la présence de requêtes
contenant "/...../", ainsi que le chemin d'accès aux archives ou à la
configuration. Cela semble affecter uniquement les systèmes
fonctionnant sur des serveurs web qui n'échappent pas les slashes,
comme Apache 1.3.</p>
</ul>
</blockquote>
<p>Pour l'actuelle distribution stable (<i>Woody</i>), ces problèmes ont été
corrigés dans la version 2.0.11-1woody11.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 2.1.5-6.</p>
<p>Nous vous recommandons de mettre à jour votre paquet mailman.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-674.data"
# $Id: dsa-674.wml,v 1.5 2005/02/27 11:06:55 toddy Exp $
Attachment:
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=