[RFR] wml://security/2014/dsa-31{48,49,51}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Trois nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#utiliser wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Django, un environnement de développement web de haut niveau en Python.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0219";>CVE-2015-0219</a>

<p>Jedediah Smith a signalé que le paramètre environ de WSGI dans Django ne
faisait pas de distinction entre les en-têtes contenant des tirets et ceux
contenant des tirets bas. Un attaquant distant pourrait utiliser ce défaut
pour usurper des en-têtes WSGI.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0220";>CVE-2015-0220</a>

<p>Mikko Ohtamaa a découvert que la fonction django.util.http.is_safe_url()
dans Django ne gérait pas correctement les espaces en tête des URL redirigées
fournies par les utilisateurs. Un attaquant distant pourrait éventuellement
utiliser ce défaut pour réaliser une attaque de script intersite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0221";>CVE-2015-0221</a>

<p>Alex Gaynor a signalé un défaut dans la façon dont Django gérait la lecture
des fichiers dans la vue django.views.static.serve(). Un attaquant distant
pourrait éventuellement utiliser ce défaut pour monter un déni de service par
consommation de ressources.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u9.</p>

<p>Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.7.1-1.1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.7.1-1.1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3151.data"
# $Id: dsa-3151.wml,v 1.1 2015/02/06 23:52:17 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Florian Weimer, de Red Hat Product Security, a découvert un problème dans
condor, un système de gestion de charge de travail distribuée. � l'achèvement
d'une tâche, il peut éventuellement le notifier à l'utilisateur en lui
envoyant un courriel ; l'invocation de mailx utilisée dans ce processus permet
à n'importe quel utilisateur authentifié ayant le droit de soumettre des
tâches d'exécuter du code arbitraire avec les droits de l'utilisateur condor.</p>

<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 7.8.2~dfsg.1-1+deb7u3.</p>

<p>Pour la distribution stable à venir (Jessie) et la distribution unstable
(Sid), ce problème a été corrigé dans la version 8.2.3~dfsg.1-6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets condor.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3149.data"
# $Id: dsa-3149.wml,v 1.1 2015/02/07 09:15:42 jipege1-guest Exp $

s#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>end de life</define-tag>
<define-tag moreinfo>
<p>La prise en charge de sécurité du navigateur web Chromium pour la
distribution stable (Wheezy) est maintenant abandonnée. Les développeurs amont
de Chromium ont cessé de prendre en charge l'environnement de construction de
Wheezy (gcc 4.7, make, etc.), il n'y a donc plus de façon pratique pour
continuer à construire les mises à jour de sécurité.</p>

<p>Les utilisateurs de Chromium qui désirent continuer à bénéficier de mises
à jour de sécurité sont encouragés à mettre à niveau en avance leur système
vers la version stable à venir (Jessie), Debian 8.</p>

<p>Une alternative est de changer pour le navigateur web iceweasel qui
continuera à recevoir des mises à jour de sécurité pendant un certain temps.</p>

<p>Notez que jusqu'à la publication officielle, les mises à jour du paquet
chromium peuvent prendre plus de temps que d'habitude du fait de la présence
possible de bogues et des règles de migration de testing.</p>

<p>Aussi, il n'y aura plus d'annonces de mise à jour de sécurité concernant
le paquet chromium jusqu'Ã  la parution officielle de Jessie.</p>

<p>Des instructions pour la mise à niveau de Debian 7 à Debian 8 sont
disponibles ici :
<url "https://www.debian.org/releases/jessie/amd64/release-notes/ch-upgrading.en.html"; /></p>

<p>Plusieurs média permettant une installation neuve de Debian 8 sont aussi
disponibles (les média pour la version candidate, jessie_di_rc1, sont
recommandés) :</p>

<ul>
<li><a href="$(HOME)/devel/debian-installer">installateur Debian</a></li>
<li><a href="http://cdimage.debian.org/cdimage/jessie_di_rc1";>jessie_di_rc1</a></li>
</ul>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3148.data"
# $Id: dsa-3148.wml,v 1.1 2015/02/07 09:15:21 jipege1-guest Exp $