[RFR] wml://security/2013/dsa-282{7,8}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,

Deux annonces de sécurités sont parues. la première traduite par Thomas 
et la seconde par moi.
J'envoie aussi une proposition de rectification pour la première pour 
que Thomas l'agrée (ou pas).
Amicalement
Jipege

#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent"
<define-tag description>Chargement arbitraire de fichier grâce à une désérialisation</define-tag>
<define-tag moreinfo>
<p>Apache Commons FileUpload, un paquet pour faciliter une capacité robuste
et de haute performance de chargement de fichiers aux servlets et aux
applications web, gérait de façom incorrecte les noms de fichiers avec des
octets NULL les instances sérialisées. Un attaquant distant capable de fournir
une instance sérialisée de la classe DiskFileItem, qui sera désérialisée sur un
serveur, pourrait utiliser ce défaut pour écrire du contenu arbitraire à tout
emplacement du serveur accessible à l'utilisateur faisant tourner le processus
du serveur d'application.</p>

<p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.2.2-1+deb6u1.</p>

<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.2.2-1+deb7u1.</p>

<p>Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 1.3-2.1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.3-2.1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libcommons-fileupload-java.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2827.data"
# $Id: dsa-2827.wml,v 1.1 2013/12/24 10:55:22 tvincent-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="jean-pierre giraud"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Drupal, une plateforme
complète de gestion de contenu : vulnérabilités dues à une protection optimiste
contre la contrefaçon de requête intersite, génération de nombres pseudo-aléatoires
peu sûre, éxécution de code et validation incorrecte des jetons d'authentification.</p>

<p>Afin d'éviter la vulnérabilité d'exécution de code distant, il est recommandé
de créer un fichier .htaccess file (ou une directive de configuration équivalente
dans le cas où vous n'utilisez pas Apache comme serveur pour vos sites Drupal)
dans chacun des répertoires des <q>fichiers</q> de vos sites (à la fois publics
et privés, dans le cas où vous avez ces deux configurations).</p>

<p>Veuillez consulter le fichier NEWS fourni avec cette mise à jour et
l'avertissement des développeurs amont à la page
<a href="https://drupal.org/SA-CORE-2013-003";>\
drupal.org/SA-CORE-2013-003</a> pour plus d'informations.</p>

<p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 6.29-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets drupal6.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2828.data"
# $Id: dsa-2828.wml,v 1.2 2013/12/28 XXXXX tvincent-guest Exp $

--- dsa-2827.wml	2013-12-24 13:06:53.408754351 +0100
+++ dsa-2827jpg.wml	2013-12-24 12:55:56.592532346 +0100
@@ -1,14 +1,14 @@
 #use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent"
 <define-tag description>Chargement arbitraire de fichier grâce à une désérialisation</define-tag>
 <define-tag moreinfo>
-<p>Apache Commons FileUpload, un paquet pour faciliter une capacité robuste
-et de haute performance de chargement de fichiers aux servlets et aux
+<p>Apache Commons FileUpload, un paquet pour faciliter l'ajout d'une capacité
+robuste et de haute performance de chargement de fichiers aux servlets et aux
 applications web, gérait de façom incorrecte les noms de fichiers avec des
-octets NULL les instances sérialisées. Un attaquant distant capable de fournir
-une instance sérialisée de la classe DiskFileItem, qui sera désérialisée sur un
-serveur, pourrait utiliser ce défaut pour écrire du contenu arbitraire à tout
-emplacement du serveur accessible à l'utilisateur faisant tourner le processus
-du serveur d'application.</p>
+octets NULL dans les instances sérialisées. Un attaquant distant capable de
+fournir une instance sérialisée de la classe DiskFileItem, qui sera désérialisée
+sur un serveur, pourrait utiliser ce défaut pour écrire du contenu arbitraire à 
+tout emplacement du serveur accessible à l'utilisateur faisant tourner le
+processus du serveur d'applications.</p>
 
 <p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.2.2-1+deb6u1.</p>