[RFR2] wml://security/2014/dsa-289{7,8,9}.wml
Bonjour,
Le 10/04/2014 07:35, JP Guillonneau a écrit :
Bonjour,
relecture.
Amicalement
Modifications intégrées
Amicalement
jipege
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans le servlet Tomcat
et le moteur JSP Â :</p>
<ul>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2067";>CVE-2013-2067</a>
<p>L'authentification par formulaire associe la requête la plus récente
exigeant une authentification à la session actuelle. En envoyant une requête
de façon répétée pour une ressource authentifiée pendant que la victime
remplit le formulaire d'identification, un attaquant pourrait injecter une
requête qui pourrait être exécutée avec les certificats de la victime.</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2071";>CVE-2013-2071</a>
<p>Une exception à l'exécution dans AsyncListener.onComplete() empêche la
requête d'être recyclée. Cela peut dévoiler des éléments de la requête
précédente dans la requête actuelle.</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4286";>CVE-2013-4286</a>
<p>Rejet des requêtes avec de multiples en-têtes de longueur de contenu ou
avec un en-tête de longueur de contenu quand l'encodage en bloc est utilisé.</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4322";>CVE-2013-4322</a>
<p>Lors du traitement d'une requête soumise en utilisant l'encodage de
transfert en bloc, Tomcat ignore mais ne limite pas les extensions
incluses. Cela permet à un client de réaliser un déni de service limité
en envoyant une quantité illimitée de données au serveur.</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2014-0050";>CVE-2014-0050</a>
<p>Les requêtes à parties multiples (Multipart) avec un en-tête de type de
contenu malformé pourrait déclencher une boucle infinie provoquant un déni de
service.</p></li>
</ul>
<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 7.0.28-4+deb7u1.</p>
<p>Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 7.0.52-1.</p>
<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.0.52-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets tomcat7.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2897.data"
# $Id: dsa-2897.wml,v 1.1 2014/04/09 22:41:35 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Michael Meffie a découvert que dans OpenAFS, un système de fichiers
distribué, un attaquant qui a la capacité de se connecter à un serveur de
fichiers OpenAFS peut déclencher un dépassement de tampon, plantant le serveur
de fichiers, et éventuellement permettant l'exécution de code arbitraire.</p>
<p>En outre, cette mise à jour résout un léger problème de déni de service :
la tache d'écoute du serveur se bloque pendant environ une seconde quand
elle reçoit un paquet invalide, offrant l'occasion de ralentir le serveur
jusqu'Ã ce qu'il devienne inutilisable en envoyant de tels paquets.</p>
<p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.4.12.1+dfsg-4+squeeze3.</p>
<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.6.1-3+deb7u2.</p>
<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.6.7-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openafs.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2899.data"
# $Id: dsa-2899.wml,v 1.1 2014/04/09 22:41:35 jipege1-guest Exp $
Reply to: