[RFR2] wml://security/2017/dsa-388{81,82,83,84}.wml
Bonjour,
Le 18/06/2017 à 19:06, JP Guillonneau a écrit :
> Bonjour,
> suggestions.
> Amicalement.
> --
> Jean-Paul
Suggestions suivies. Merci d'avance de vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Hubert Kario a découvert que GnuTLS, une bibliothèque implémentant les
protocoles TLS et SSL, ne décodait pas correctement une extension de réponse
d'état TLS, permettant à un attaquant distant de provoquer le plantage
d'une application utilisant la bibliothèque GnuTLS (déni de service).</p>
<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.3.8-6+deb8u6.</p>
<p>Pour la prochaine distribution stable (Stretch), ce problème a été corrigé dans la version 3.5.8-5+deb9u1.</p>
<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.5.8-6.</p>
<p>Nous vous recommandons de mettre à jour vos paquets gnutls28.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3884.data"
# $Id: dsa-3884.wml,v 1.2 2017/06/18 17:31:11 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un
système paramétrable de suivi de problèmes. Le projet « Common
Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6127";>CVE-2016-6127</a>
<p>Request Tracker est vulnérable à une attaque par script intersite (XSS)
si un attaquant charge un fichier malveillant avec un certain type de
contenu. Les installations qui utilisent le paramètre de configuration
AlwaysDownloadAttachments ne sont pas affectées par ce défaut. Le correctif
appliqué traite toutes les pièces attachées existantes et à venir.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5361";>CVE-2017-5361</a>
<p>Request Tracker est vulnérable à des attaques temporelles par canal
auxiliaire pour les mots de passe utilisateur.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5943";>CVE-2017-5943</a>
<p>Request Tracker est prédisposé à une fuite d'informations de jetons de
vérification de contrefaçon de requête intersite (CSRF), si un utilisateur
est piégé par un attaquant en visitant une URL contrefaite pour l'occasion.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5944";>CVE-2017-5944</a>
<p>Request Tracker est prédisposé à une vulnérabilité d'exécution de code Ã
distance dans l'interface de souscription du tableau de bord. Un attaquant
privilégié peut tirer avantage de ce défaut grâce à des noms de recherches
sauvegardées soigneusement contrefaites pour provoquer l'exécution de code
inattendu. Le correctif appliqué traite toutes les recherches sauvegardées
existantes et à venir.</p>
</ul>
<p>En plus de CVE mentionnées ci-dessus, cette mise à jour contourne le
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7686";>CVE-2015-7686</a>
dans Email::Address qui pourrait induire un déni de service de Request
Tracker lui-même.</p>
<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.2.8-3+deb8u2.</p>
<p>Pour la prochaine distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.4.1-3+deb9u1.</p>
<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.4.1-4.</p>
<p>Nous vous recommandons de mettre à jour vos paquets request-tracker4.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3882.data"
# $Id: dsa-3882.wml,v 1.2 2017/06/18 17:31:11 jipege1-guest Exp $
Reply to: