[RFR] wml://security/2015/dla-{258,290,294,295,302,303,352}.wml​

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
voici sept traductions de dla. Ce sont de copies conformes ou adaptées
respectivement des dsa 3249, 3321, 3332, 3341, 3440, 3339 et 3403.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>La bibliothèque <q>commons collection</q> d'Apache souffrait de problèmes
de sécurité, faisant accepter aux applications des objets sérialisés à partir
de sources non sûres. Des attaquants distant pourraient tirer avantage de
ces problèmes pour exécuter des fonctions Java arbitraires et même pour
injecter du bytecode manipulé.</p>

<p>Cette version de libcommons-collection3-java évite ces problèmes en
désactivant la désérialisation des classes <q>functor</q>, sauf si la
propriété du système org.apache.commons.collections.enableUnsafeSerialization
est configurée à <q>true</q>. Les classes considérées comme non sûres sont :
CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformer,
InvokerTransformer, PrototypeCloneFactory, PrototypeSerializationFactory et
WhileClosure.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 3.2.1-4+deb6u1 de libcommons-collections3-java. Nous vous
recommandons de mettre à jour vos paquets libcommons-collections3-java.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-352.data"
# $Id: dla-352.wml,v 1.1 2017/07/01 21:00:36 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans OpenJDK, une
implémentation de la plateforme Java d'Oracle, avec pour conséquence
l'exécution de code arbitraire, des fuites du bac à sable Java, la
divulgation d'informations, un déni de service ou un chiffrement non sûr.</p>

<p>Pour Debian 6 <q>Squeeze</q>, Ces problèmes ont été corrigés dans la
version 6b36-1.13.8-1~deb6u1 d'openjdk-6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets openjdk-6.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-303.data"
# $Id: dla-303.wml,v 1.1 2017/07/01 21:00:36 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Dawid Golunski a découvert que Zend Framework, un cadriciel PHP, ne
gérait pas correctement les données XML dans un encodage multioctet
lorsqu'il tournait sous l'interface FPM de PHP dans un environnement à 
processus légers. Cela pourrait être utilisé par des attaquants distants
pour réaliser une attaque dâ??entités externes XML grâce à  des données XML
contrefaites.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ce problème a été corrigé dans la
version 1.10.6-1squeeze5 de zendframework.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-302.data"
# $Id: dla-302.wml,v 1.1 2017/07/01 21:00:36 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>« jann » a découvert que dans certaines configurations, conntrackd
plantera lors du traitement de paquets DCCP, SCTP ou ICMPv6, si le module du
noyau conntrack correspondant n'est pas chargé. Dans la version fournie dans
Debian 6.0 <q>Squeeze</q>, cette vulnérabilité ne concerne que ICMPv6.</p>

<p>Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé
dans la version 1:0.9.14-2+deb6u1.</p>

<p>Pour la distribution oldstable (Wheezy) et la distribution stable
(Jessie), ce problème sera corrigé prochainement.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-295.data"
# $Id: dla-295.wml,v 1.1 2017/07/01 21:00:36 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été corrigées dans Wordpress, le populaire
moteur de blog.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2213";>CVE-2015-2213</a>

<p>Une injection SQL permettait à un attaquant distant de compromettre le
site.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5622";>CVE-2015-5622</a>

<p>La robustesse du filtre des étiquettes de « shortcodes » HTML a été
améliorée. L'analyse est un peu plus stricte, ce qui peut affecter votre
installation. Cela est la version corrigée du correctif qui devait être
retirée dans la DSA 3328-2.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5731";>CVE-2015-5731</a>

<p>Un attaquant pourrait verrouiller un envoi qui était en révision.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5732";>CVE-2015-5732</a>

<p>Une attaque de script intersite dans un « widget title » permet à un
attaquant de voler des informations sensibles.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5734";>CVE-2015-5734</a>

<p>Correction de liens cassés dans le « Legacy Theme Preview ».</p></li>

</ul>

<p>Ces problèmes ont été découverts par Marc-Alexandre Montpas de Sucuri,
Helen Hou-Sandí de l'équipe de sécurité de WordPress, Netanel Rubin de Check
Point, Ivan Grigorov, Johannes Schmitt de Scrutinizer et Mohamed A. Baset.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-294.data"
# $Id: dla-294.wml,v 1.1 2017/07/01 21:00:36 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Le logiciel Shibboleth SP plante lors de l'analyse de code XML correct
mais selon un schéma non valable.</p>

<p>Un autre envoi pour opensaml2 est nécessaire pour résoudre véritablement
ce problème. Cela sera fait prochainement.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-290.data"
# $Id: dla-290.wml,v 1.1 2017/07/01 21:00:35 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Shadowman131 a découvert que jqueryui, une bibliothèque d'interface
utilisateur en JavaScript pour des applications web dynamiques, échouait à 
vérifier correctement son option <q>title</q>. Cela pourrait permettre à un
attaquant distant d'injecter du code arbitraire par attaque de script
intersite.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-258.data"
# $Id: dla-258.wml,v 1.1 2017/07/01 21:00:34 jipege1-guest Exp $