Salut, Deux mises à jour de sécurité ont été mises en ligne, et j'en ai traduit une plus ancienne, par avance merci pour vos relectures. David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Asterisk, une boîte à outils d'autocommutateur (PBX) et téléphonie. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4597";>CVE-2011-4597</a> <p> Ben Williams a découvert qu'il est possible d'énumérer les noms d'utilisateurs SIP dans certaines configurations. Veuillez consulter l'<a href="http://downloads.asterisk.org/pub/security/AST-2011-013.html";>\ annonce amont</a> pour plus de précisions. </p> <p> Cette mise à jour ne modifie que le fichier de configuration sip.conf donné en exemple. Veuillez consulter le fichier README.Debian pour de plus amples renseignements sur la façon de mettre à jour votre installation. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4598";>CVE-2011-4598</a> <p> Kristijan Vrban a découvert qu'Asterisk peut être planté avec des paquets SIP contrefaits si la fonctionnalité <q>automon</q> est activée. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1:1.4.21.2~dfsg-3+lenny6.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:1.6.2.9-2+squeeze4.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:1.8.8.0~dfsg-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets asterisk.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2367.data" # $Id: dsa-2367.wml,v 1.1 2011-12-19 18:44:34 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs problèmes ont été découverts dans MediaWiki, un moteur de site web pour travail collaboratif. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1578";>CVE-2011-1578</a> <a href="http://security-tracker.debian.org/tracker/CVE-2011-1587";>CVE-2011-1587</a> <p> Masato Kinugawa a découvert un problème de script intersite (XSS), qui ne concerne que les clients Internet Explorer, uniquement en version 6 et antérieure. La mise à niveau de MediaWiki ne sera suffisante que pour les personnes qui utilisent Apache avec AllowOverride activé. </p> <p> Pour plus de précisions sur les modifications de configuration nécessaires, consultez les <a href="http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-April/000096.html";>\ annonces</a> en <a href="http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-April/000097.html";>\ amont</a>. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1579";>CVE-2011-1579</a> <p> L'utilisateur Suffusion of Yellow de Wikipédia a découvert une erreur de validation CSS dans l'analyseur wikitext. C'est un problème de script intersite pour les clients Internet Explorer, et un problème de perte d'anonymat pour les autre clients puisque cela permet d'intégrer des images distantes arbitraires. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-1580";>CVE-2011-1580</a> <p> Le développeur Happy-Melon de MediaWiki a découvert que la fonctionnalité d'importation transwiki ne réalise pas de vérifications de contrôle d'accès lorsqu'un formulaire est soumis. La fonctionnalité d'importation transwiki est désactivée par défaut. Si elle est activée, elle permet aux pages de wiki d'être copiées depuis un wiki distant configuré dans $wgImportSources. Le problème signifie que n'importe quel utilisateur peut déclencher une importation comme celle-là . </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4360";>CVE-2011-4360</a> <p> Alexandre Emsenhuber a découvert un problème où les titres de page des wikis privés pourraient être exposés en contournant différents identifiants de page vers index.php. Dans le cas où l'utilisateur n'a pas les droits adéquats, ils seront maintenant redirigés vers Special:BadTitle. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4361";>CVE-2011-4361</a> <p> Tim Starling a découvert que les requêtes action=ajax étaient envoyées à la fonction adéquate sans faire de vérifications de droits de lectures. Cela aurait pu conduire à une fuite de données sur les wikis privés. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 1:1.12.0-2lenny9.</p> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1:1.15.5-2squeeze2.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:1.15.5-5.</p> <p>Nous vous recommandons de mettre à jour vos paquets mediawiki.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2366.data" # $Id: dsa-2366.wml,v 1.1 2011-12-19 18:31:03 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités, annonce de fin de vie dans oldstable</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Asterisk, une boîte à outils d'autocommutateur (PBX) et téléphonie. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0041";>CVE-2009-0041</a> <p> Il est possible de déterminer des noms de connexion valables en essayant, à cause de la réponse IAX2 d'Asterisk (AST-2009-001). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-3903";>CVE-2008-3903</a> <p> Il est possible de déterminer un nom d'utilisateur SIP valable, lorsque les authentifications Digest et authalwaysreject sont activées (AST-2009-003). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3727";>CVE-2009-3727</a> <p> Il est possible de déterminer un nom d'utilisateur SIP valable à l'aide de plusieurs messages REGISTER contrefaits (AST-2009-008). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-7220";>CVE-2008-7220</a> <a href="http://security-tracker.debian.org/tracker/CVE-2007-2383";>CVE-2007-2383</a> <p> Asterisk contient une copie obsolète du système JavaScript Prototype, qui est vulnérable à plusieurs problèmes de sécurité. Cette copie n'est pas utilisée et est maintenant retirée d'Asterisk (AST-2009-009). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4055";>CVE-2009-4055</a> <p> Il est possible de réaliser une attaque par déni de service à l'aide d'une charge utile (<q>payload</q>) RTP de bruit de confort(<q>comfort noise</q>) avec une longueur de données importante (AST-2009-010). </p></li> </ul> <p> L'actuelle version distribuée dans oldstable n'est plus suivie en amont et est concernée par plusieurs problèmes de sécurité Le rétroportage des correctifs pour ces problèmes et ceux à venir est devenu impossible et par conséquent nous devons abandonner le suivi en sécurité pour la version distribuée dans oldstable. Nous recommandons à tous les utilisateurs d'Asterisk de mettre à niveau vers la distribution stable (Lenny). </p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1:1.4.21.2~dfsg-3+lenny1.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:1.6.2.0~rc7-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets asterisk.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1952.data" # $Id: dsa-1952.wml,v 1.2 2010-12-17 14:40:45 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature