[relu] webwml://security/2002/dsa-125.wml

[Pierre Machard <pmachard@tuxfamily.org>]

Bonsoir à tous,

voici ma traduction de la dsa-125

Merci à Thomas et Guillaume pour leurs relectures,

a+
-- 
				Pierre Machard
<pmachard@tuxfamily.org>                                  TuxFamily.org
<pmachard@techmag.net>                                      techmag.net
+33 6 681 783 65                     http://migus.tuxfamily.org/gpg.txt
GPG: 1024D/23706F87 : B906 A53F 84E0 49B6 6CF7  82C2 B3A0 2D66 2370 6F87

# $Id: dsa-125.wml,v 1.1 2002/03/28 08:49:08 joey Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Pierre Machard"
<define-tag description>Trou de sécurité sur les éléments dynamiques</define-tag>
# http://www.analog.cx/security4.html
<define-tag moreinfo>
<p>Yuji Takahashi a découvert un bogue dans analog qui permettait
les attaques sur les éléments dynamiques. Il est facile à un assaillant
d'ajouter une chaîne de caractères arbitraire dans le journal de tous
les serveur web. Si ces chaînes de caractères sont ensuite
analysées par analog, elles peuvent apparaître dans le compte rendu.
Par ce moyen, un assaillant peut introduire un code Javascript arbitraire,
par exemple, dans un compte rendu analog produit par quelqu'un d'autre
et lu par une tierce personne. Analog essaie d'ores et déjà d'encoder
les caractères dangereux pour éviter ce type d'attaque, mais la conversion
était incomplète.</p>

<p>Ce problème a été corrigé dans la version&nbsp;5.22 de développement
d'analog. Malheureusement l'application de la rustine à l'ancienne version
d'analog dans la distribution stable de Debian demanderait un  
travail si important que nous en avons été dissuadés.</p>

<p>Nous vous recommandons de mettre à jour votre paquet analog immédiatement.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-125.data"