Salut, Deux mises à jour de sécurité ont été mises en ligne, et j'en ai traduit une plus vieille pour récupérer le retard, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Mahara, un portefeuille électronique complet, blog et constructeur de curriculum vitæ. Le projet <q>Common Vulnerabilities and Exposures</q> (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1402";>CVE-2011-1402</a> <p> On a découvert que les versions précédentes de Mahara ne vérifiaient pas les pouvoirs des utilisateurs avant d'ajouter une URL confidentielle pour voir ou suspendre un utilisateur. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1403";>CVE-2011-1403</a> <p> � cause d'un problème de configuration du paquet Pieform de Mahara, le mécanisme de protection contre la contrefaçon de requête intersite duquel Mahara dépend pour renforcer ses formulaires ne fonctionnait pas et était principalement désactivé. Cette vulnérabilité critique pourrait permettre aux attaquants de piéger d'autres utilisateurs (par exemple des administrateurs) dans la réalisation d'actions malveillantes de la part de l'attaquant. La plupart des formulaires de Mahara sont vulnérables. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1404";>CVE-2011-1404</a> <p> De nombreuses structures JSON renvoyées par Mahara pour ses interactions AJAX contenaient plus de renseignements que prévus pour l'utilisateur connecté. Les nouvelles versions de Mahara limitent ses renseignements au strict nécessaire pour chaque page. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1405";>CVE-2011-1405</a> <p> Les versions précédentes de Mahara ne protégeaient pas le contenu des courriers HTML envoyés aux utilisateurs. En fonction des filtres activés dans le client de messagerie, cela pouvait permettre les attaques par script intersite. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1406";>CVE-2011-1406</a> <p> On a fait remarquer que si Mahara est configuré (via sa variable wwwroot) pour utiliser HTTPS, il laissera les utilisateurs se connecter sans problème par la version HTTP du site si le serveur web est configuré pour servir le contenu par les deux protocoles. La nouvelle version de Mahara, si wwwroot indique une URL HTTPS, redirigera automatiquement vers HTTPS si une utilisation en HTTP est détectée. </p> <p> Nous recommandons aux sites désirant faire fonctionner Mahara en HTTPS de s'assurer que la configuration de leur serveur web ne permet pas de servir le contenu par HTTP et redirige simplement vers la version sécurisée. Nous suggérons également aux administrateurs de site de prendre en considération l'ajout d'<a href="http://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security";>\ en-têtes HSTS</a> à la configuration de leur serveur web. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 1.0.4-4+lenny10.</p> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1.2.6-2+squeeze2.</p> <p>Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 1.3.6-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.3.6-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mahara.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2246.data" # $Id: dsa-2246.wml,v 1.1 2011-05-29 13:08:08 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans le navigateur Chromium. Le projet « Common Vulnerabilities et Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1292";>CVE-2011-1292</a> <p> Une vulnérabilité d'utilisation mémoire après libération (<q>use-after-free</q>) dans l'implémentation de chargeur de cadre de Google Chrome permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d'autres conséquences indéterminées par des moyens inconnus. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1293";>CVE-2011-1293</a> <p> Une vulnérabilité d'utilisation mémoire après libération (<q>use-after-free</q>) dans l'implémentation HTMLCollection de Google Chrome permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d'autres conséquences indéterminées par des moyens inconnus. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1440";>CVE-2011-1440</a> <p> Une vulnérabilité d'utilisation mémoire après libération (<q>use-after-free</q>) dans Google Chrome permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d'autres conséquences indéterminées par des moyens liés aux séquences de jeton de l'élément Ruby et des feuilles de style en cascade (CSS). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1444";>CVE-2011-1444</a> <p> Une situation de compétition dans l'implémentation de lancement du bac à sable de Google Chrome sur Linux permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d'autres conséquences indéterminées par des moyens inconnus. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1797";>CVE-2011-1797</a> <p> Google Chrome ne rend pas correctement les tableaux. Cela permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d'autres conséquences indéterminées par des moyens inconnus pouvant mener à un <q>pointeur bancal</q>. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1799";>CVE-2011-1799</a> <p> Google Chrome ne réalise pas correctement les invocations de variables lors de l'interaction avec le moteur WebKit. Cela permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d'autres conséquences indéterminées par des moyens inconnus. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 6.0.472.63~r59945-5+squeeze5.</p> <p>Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 11.0.696.68~r84545-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets chromium-browser.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2245.data" # $Id: dsa-2245.wml,v 1.1 2011-05-29 12:23:07 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans MoinMoin, un clone en Python de WikiWiki. Le projet « Common Vulnerabilities et Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0668";>CVE-2010-0668</a> <p> Plusieurs problèmes de sécurité de MoinMoin relatifs aux configurations ayant une liste non vide de superutilisateurs, l'action xmlrpc activée, l'action SyncPages activée ou OpenID configuré. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0669";>CVE-2010-0669</a> <p> MoinMoin ne vérifie pas correctement les profils des utilisateurs. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-0717";>CVE-2010-0717</a> <p> La configuration par défaut de cfg.paquetpages_actions_excluded dans MoinMoin ne préserve pas des actions de paquets non sûrs. </p></li> </ul> <p> De plus, cette mise à jour corrige une erreur lors du traitement des ACL hiérarchiques. Cela peut être exploité pour accéder à des sous-pages restreintes. </p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.7.1-3+lenny3.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.2-1, qui migrera bientôt vers la distribution testing (Squeeze).</p> <p>Nous vous recommandons de mettre à jour votre paquet moin.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2014.data" # $Id: dsa-2014.wml,v 1.2 2010-12-17 14:26:39 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature