Salut, Deux petites suggestions et un paragraphe qui traînait. Amicalement, Cédric
--- dsa-2247.wml 2011-06-06 14:58:00.000000000 +0200 +++ dsa-2247-cb.wml 2011-06-06 15:01:32.000000000 +0200 @@ -20,10 +20,9 @@ <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0447";>CVE-2011-0447</a> <p> -Rails ne valide pas correctement les requêtes HTTP contenant des -en-têtes X-Requested-With, ce qui facilite la mise en place d'attaques -de contrefaçon de requête intersite (CSRF) aux attaquants distants. -</p></li> +Rails ne valide pas correctement les requêtes HTTP contenant des en-têtes +X-Requested-With, ce qui facilite à des attaquants distants la mise en place +d'attaques de contrefaçon de requête intersite (CSRF). </p></li> </ul>
--- dsa-2250.wml 2011-06-06 14:58:02.000000000 +0200 +++ dsa-2250-cb.wml 2011-06-06 15:07:10.000000000 +0200 @@ -3,7 +3,7 @@ <define-tag moreinfo> <p> Wouter Coekaerts a découvert que le serveur Jabber de Citadel, un -serveur de logiciels de groupe complet et plein de fonctionnalités, +serveur de logiciels de groupe complet et riche en fonctionnalités, est vulnérable à l'attaque d'<q>XML entity expansion</q> parce qu'il n'empêche pas l'expansion d'entité sur les données reçues. @@ -11,11 +11,6 @@ contre le service en lui envoyant des données XML trafiquées pour l'occasion. </p> -<p>Wouter Coekaerts a découvert that the jabber server component of citadel, -a complete et feature-rich groupware server, is vulnérable to the so-called -<q>billion laughs</q> attaque because it does not prevent entity expansion on -received data. Cela permet an attaquant to réaliser attaques par déni de service against the service by sending trafiqué pour l'occasion XML data to it.</p> - <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 7.37-8+lenny1.</p>
Attachment:
signature.asc
Description: Digital signature