[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2015/dsa-3265.wml

Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Zend Framework, un
cadriciel PHP. Ã? l'exception de <a
href="https://security-tracker.debian.org/tracker/CVE-2015-3154";>CVE-2015-3154</a>,
tous ces problèmes ont déjà été corrigé dans la version fournie avec Jessie.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2681";>CVE-2014-2681</a>

<p>Lukas Reschke a signalé une absence de protection contre des attaques
dâ??injection dâ??entités externes XML dans certaines fonctions. Cette correction
complète la correction incomplète de <a
href="https://security-tracker.debian.org/tracker/CVE-2012-5657";>CVE-2012-5657</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2682";>CVE-2014-2682</a>

<p>Lukas Reschke a signalé un échec de la prise en compte du partage de la
configuration de libxml_disable_entity_loader parmi les processus dans le cas
de PHP-FPM. Cette correction complète la correction incomplète de 
<a href="https://security-tracker.debian.org/tracker/CVE-2012-5657";>CVE-2012-5657</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2683";>CVE-2014-2683</a>

<p>Lukas Reschke a signalé une absence de protection contre des attaques
dâ??injection dâ??entités externes XML dans certaines fonctions. Cette correction
complète la correction incomplète de <a
href="https://security-tracker.debian.org/tracker/CVE-2012-6532";>CVE-2012-6532</a>.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2684";>CVE-2014-2684</a>

<p>Christian Mainka et Vladislav Mladenov de l'Université de la Ruhr à Bochum
ont signalé une erreur dans la méthode de vérification du consommateur qui
mène à l'acceptation de jetons d'origine incorrecte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2685";>CVE-2014-2685</a>

<p>Christian Mainka et Vladislav Mladenov de l'Université de la Ruhr à Bochum
ont signalé une violation de spécification dans laquelle la signature d'un
seul paramètre est incorrectement considéré comme suffisant.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4914";>CVE-2014-4914</a>

<p>Cassiano Dal Pizzol a découvert que l'implémentation de la variable ORDER
BY SQLdans Zend_Db_Select contient une potentielle injection SQL quand la
chaîne de la requête envoyée contient des parenthèses.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8088";>CVE-2014-8088</a>

<p>Yury Dyachenko du Positive Research Center ont identifié de potentiels
vecteurs dâ??injection dâ??entités externes XML dus à l'utilisation non sécurisée
de l'extension DOM de PHP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8089";>CVE-2014-8089</a>

<p>Jonas Sandström a découvert un vecteur d'injection SQL lors de la
protection manuelle de valeurs pour l'extension sqlsrv, en utilisant un
octet NULL.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3154";>CVE-2015-3154</a>

<p>Filippo Tessarotto et Maks3w ont signalé des attaques potentielles
d'injection de fin de ligne (CRLF) dans les en-têtes de messages et HTTP.</p></li>

</ul>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.11.13-1.1+deb7u1.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.12.9+dfsg-2+deb8u1.</p>

<p>Pour la distribution testing (Stretch), ces problèmes seront corrigés dans la version 1.12.12+dfsg-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.12.12+dfsg-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets zendframework.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3265.data"
# $Id: dsa-3265.wml,v 1.1 2015/05/24 17:42:58 jipege1-guest Exp $
Reply to: