[LCFC] webwml://security/2005/dsa-{898,899,900}.wml

[Simon Paillard <simon.paillard@resel.enst-bretagne.fr>]

Le vendredi 18 novembre 2005 à 13:41 +0100, Simon Paillard a écrit :

> Voici les traductions des annonces 898, 899 et 900 touchant
> respectivement phpgroupware, egroupware et fetchmail.

DSA 898
> Le vendredi 18 novembre 2005 à 13:59 +0100, Frédéric Bothamy a écrit : 
> > <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0870";>CVE-2005-0870</a>
> > 
> >     <p>Maksymilian Arciemowicz a découvert plusieurs problèmes de scripts
> >     intersites, qui n'avaient pas tous été corrigés par DSA&nbsp;724.</p></li>
> 
> Je mettrais plutôt : corrigés par la DSA&nbsp;724.
> (idem pour la DSA 899).

Ok, je corrige.

> Le vendredi 18 novembre 2005 à 12:52 +0000, Jean-Luc Coulon a écrit :
> > <p>Christopher Kunz a découvert que les entrées provenant de
> > l'utilisateur étaient utilisées sans vérification, provoquant un problème de
> > division de
> 
>    découpage   (peut-être...)

C'est mieux en effet.


DSA 900

> Le vendredi 18 novembre 2005 à 13:59 +0100, Frédéric Bothamy a écrit : 
> > #use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
> > <define-tag description>Erreur de programmation</define-tag>
> > <define-tag moreinfo>
> > <p>Thomas Wolff a découvert que le programme fetchmailconfig fourni dans
> 
> Ce n'est pas plutôt le programme fetchmailconf (du paquet de même nom) ?
> Si oui, il faudrait également corriger la version anglaise.

C'est bien fetchmailconf :
usr/bin/fetchmailconf	mail/fetchmailconf
C'est corrigé, et j'avertis debian-www.

> Le vendredi 18 novembre 2005 à 12:52 +0000, Jean-Luc Coulon a écrit :
> créait le nouveau fichier de configuration d'une manière non
> > sécurisée, qui
>               ce qui

ok.

> > pouvait entraîner la divulgation aux utilisateurs locaux de mots de
> > passe de
> > compte de courriel.</p>
> 
> "des mots de passes des comptes" ou "de mots de passes des comptes"
> 
> comptes est forcément au pluriel car il n'y a qu'un mot de passe par  
> compte.

Je trouve cela étrange « passeS » au pluriel, et ok pour comptes :)

http://atilf.atilf.fr/dendien/scripts/tlfiv5/search.exe?23;s=2857741905;cat=1;m=mot+de+passe;


Merci Frédéric et Jean-Luc pour vos relectures.

Bonne soirée.

-- 
Simon Paillard <simon.paillard@resel.enst-bretagne.fr>

#use wml::debian::translation-check translation="1.3" maintainer="Simon Paillard"
<define-tag description>Erreurs de programmation</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans phpsysinfo, une
application PHP fournissant des informations sur l'hôte l'hébergeant et incluse
dans phpgroupware. Le projet «&nbsp;Common Vulnerabilities and Exposures&nbsp;»
a identifié les problèmes suivants&nbsp;:</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0870";>CVE-2005-0870</a>

    <p>Maksymilian Arciemowicz a découvert plusieurs problèmes de scripts
    intersites, qui n'avaient pas tous été corrigés par
    la DSA&nbsp;724.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3347";>CVE-2005-3347</a>

    <p>Christopher Kunz a découvert que des variables locales étaient écrasées
    sans condition, mais étaient pourtant considérées fiables par la suite.
    Cela pouvait permettre l'inclusion de fichiers arbitraires.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3348";>CVE-2005-3348</a>

    <p>Christopher Kunz a découvert que les entrées provenant de l'utilisateur
    étaient utilisées sans vérification, provoquant un problème de découpage de
    la réponse HTTP (<i>HTTP Response splitting</i>).</p></li>

</ul>

<p>Pour l'ancienne distribution stable (<em>Woody</em>), ces problèmes ont été
corrigés dans la version&nbsp;0.9.14-0.RC3.2.woody5.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version&nbsp;0.9.16.005-3.sarge4.</p>

<p>Pour la distribution instable (<em>Sid</em>), ces problèmes ont été corrigés
dans la version&nbsp;0.9.16.008-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets phpgroupware.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-898.data"

#use wml::debian::translation-check translation="1.3" maintainer="Simon Paillard"
<define-tag description>programming errors</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans egroupware, une suite
logicielle de travail collaboratif par le web.  Le projet «&nbsp;Common
Vulnerabilities and Exposures&nbsp;» a identifié les problèmes
suivants&nbsp;:</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0870";>CVE-2005-0870</a>

    <p>Maksymilian Arciemowicz a découvert plusieurs problèmes de scripts
    intersites dans phpsysinfo, également présents dans la version incluse dans
    egroupware et qui n'avaient pas tous été corrigés par
    la DSA&nbsp;724.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-2600";>CVE-2005-2600</a>

    <p>Alexander Heidenreich a découvert un problème de script intersites dans
    la vue arborescente de «&nbsp;FUD Forum Bulletin Board Software&nbsp;»,
    aussi présent dans egroupware et qui permet aux attaquants distants de lire
    des messages privés en utilisant un paramètre «&nbsp;mid&nbsp;»
    modifié.</p></li>
    
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3347";>CVE-2005-3347</a>

    <p>Christopher Kunz a découvert que des variables locales étaient écrasées
    sans condition dans phpsysinfo, ce qui est également le cas dans
    egroupware, mais étaient pourtant considérées fiables par la suite. Cela
    pouvait permettre l'inclusion de fichiers arbitraires.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3348";>CVE-2005-3348</a>

    <p>Christopher Kunz a découvert que les entrées provenant de l'utilisateur
    étaient utilisées sans vérification dans phpsysinfo lui-même importé dans
    egroupware, provoquant un problème de découpage de la réponse HTTP (<i>HTTP
    Response splitting</i>).</p></li>

</ul>

<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas
egroupware.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version&nbsp;1.0.0.007-2.dfsg-2sarge4.</p>

<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version&nbsp;1.0.0.009.dfsg-3-3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets egroupware.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-899.data"

#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>Thomas Wolff a découvert que le programme fetchmailconf fourni dans
fetchmail, un utilitaire courant de récupération de mail en POP3, APOP et IMAP,
créait le nouveau fichier de configuration d'une manière non sécurisée, ce qui
pouvait entraîner la divulgation aux utilisateurs locaux des mots de passe des
comptes de courriel.</p>

<p>Cette mise à jour corrige également une régression introduite dans le paquet
de la distribution stable par la dernière mise à jour de sécurité.</p>

<p>Pour l'ancienne distribution stable (<em>Woody</em>), ce problème a été
corrigé dans la version&nbsp;5.9.11-6.3.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version&nbsp;6.2.5-12sarge3.</p>

<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version&nbsp;6.2.5.4-1.</p>

<p>Nous vous recommandons de mettre à jour votre paquet fetchmail.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-900.data"