[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2014/dsa-289{7,8,9}.wml

Bonjour,

Trois nouvelles annonces de sécurité viennent d'être publiées.
Merci d'avance pour vos relectures.

Amicalement,
jipege

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le moteur de
servlet et JSP Tomcat :</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2067";>CVE-2013-2067</a>

<p>L'authentification par formulaire associe la requête la plus récente
exigeant une authentification à la session actuelle. En envoyant une requête
de façon répétée pour une ressource authentifiée pendant que la victime
remplit le formulaire d'identification, un attaquant pourrait injecter une
requête qui pourrait être exécutée avec les certificats de la victime.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2071";>CVE-2013-2071</a>

<p>Une exception à l'exécution dans AsyncListener.onComplete() empêche la
requête d'être recyclée. Cela peut dévoiler des éléments de la requête
précédente dans la requête actuelle.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4286";>CVE-2013-4286</a>

<p>Rejet des requêtes avec de multiples en-tête de longueur de contenu ou
    avec un en-tête de longueur de contenu quand l'encodage en bloc est utilisé.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4322";>CVE-2013-4322</a>

    <p>Lors du traitement d'une requête soumise en utilisant l'encodage de
    transfert en bloc, Tomcat ignore mais ne limite pas les extensions
    incluses. Cela permet à un client de réaliser un déni de service limité
    en envoyant une quantité illimitée de données au serveur.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2014-0050";>CVE-2014-0050</a>

<p>Les requêtes à parties multiples (Multipart) avec un en-tête de type de
contenu malformé pourrait déclencher une boucle infinie provoquant un déni de
service.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 7.0.28-4+deb7u1.</p>

<p>Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 7.0.52-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.0.52-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2897.data"
# $Id: dsa-2897.wml,v 1.1 2014/04/09 22:41:35 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs dépassements de tampons ont été découverts dans Imagemagick, une
suite de programmes de manipulation d'image. Le traitement de fichiers PSD
malformés pourrait conduire à l'exécution de code arbitraire.</p>

<p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 8:6.6.0.4-3+squeeze4.</p>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 8:6.7.7.10-5+deb7u3.</p>

<p>Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 8:6.7.7.10+dfsg-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 8:6.7.7.10+dfsg-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2898.data"
# $Id: dsa-2898.wml,v 1.1 2014/04/09 22:41:35 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Michael Meffie a découvert que dans OpenAFS, un système de fichiers
distribué, un attaquant qui a la capacité de se connecter à un serveur de
fichier OpenAFS peut déclencher un dépassement de tampon, plantant le serveur
de fichiers, et éventuellement permettant l'exécution de code arbitraire.</p>

<p>En outre, cette mise à jour résoud un léger problème de déni de service :
la tache d'écoute du serveur se bloque pour environ une seconde quand
elle reçoit un paquet invalide, offrant l'occasion de ralentir le serveur
jusqu'à ce qu'il devienne inutilisable en envoyant de tels paquets.</p>

<p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.4.12.1+dfsg-4+squeeze3.</p>

<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.6.1-3+deb7u2.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.6.7-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openafs.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2899.data"
# $Id: dsa-2899.wml,v 1.1 2014/04/09 22:41:35 jipege1-guest Exp $
Reply to: