[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [RFR] wml://security/2017/dsa-383{4,5,6}.wml

Bonjour,
Le 02/05/2017 à 16:08, Baptiste Jammet a écrit :
> Bonjour,
> Le 02/05/2017 08:05, jean-pierre giraud a écrit :
>> trois nouvelles annonces de sécurité viennent d'être publiées. En voici
>> une traduction
> dsa-3836.wml, l.6 :
> -permettant à une attaquant distant de provoquer un déni de service en
> +permettant à un attaquant distant de provoquer un déni de service en
> …ou une attaquante, pourquoi pas ?
> Baptiste
Corrections de Jean-Paul et Baptiste appliquées. Merci d'avance pour vos
nouvelles relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>weechat, un client de messagerie instantanée rapide et léger, est
prédisposé à une vulnérabilité de dépassement de tampon dans le greffon IRC,
permettant à un attaquant distant de provoquer un déni de service en
envoyant un nom de fichier contrefait pour l'occasion avec le protocole DCC.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.0.1-1+deb8u1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.7-3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets weechat.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3836.data"
# $Id: dsa-3836.wml,v 1.2 2017/05/04 10:13:02 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Django, un cadre de
développement web de haut niveau en Python. Le projet « Common
Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9013";>CVE-2016-9013</a>

<p>Marti Raudsepp a signalé qu'un utilisateur avec un mot de passe « codé
en dur » est créé lors de l'exécution de tests avec une base de données
Oracle.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9014";>CVE-2016-9014</a>

<p>Aymeric Augustin a découvert que Django ne valide pas correctement
l'en-tête d'hôte avec settings.ALLOWED_HOSTS lorsque le réglage de débogage
est activé. Un attaquant distant peut tirer avantage de ce défaut pour
réaliser des attaques de « DNS rebinding ».</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7233";>CVE-2017-7233</a>

<p>is_safe_url() ne traite pas correctement certaines URL numériques comme
sûres. Un attaquant distant peut tirer avantage de ce défaut pour réaliser
des attaques par script intersite (XSS) ou pour utiliser un serveur Django
comme une redirection d'ouverture.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7234";>CVE-2017-7234</a>

<p>Phithon de Chaitin Tech a découvert une vulnérabilité de redirection
d'ouverture dans la vue django.views.static.serve(). Notez que cette vue
n'est pas faite pour une utilisation en production.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.7.11-1+deb8u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3835.data"
# $Id: dsa-3835.wml,v 1.2 2017/05/04 10:13:02 jipege1-guest Exp $
Reply to: