[LCFC2] webwml://security/2005/dsa-899.wml
Le samedi 19 novembre 2005 à 22:45 +0100, Simon Paillard a écrit :
> Le vendredi 18 novembre 2005 à 13:41 +0100, Simon Paillard a écrit :
>
> > Voici les traductions des annonces 898, 899 et 900 touchant
> > respectivement phpgroupware, egroupware et fetchmail.
>
> DSA 898
> > Le vendredi 18 novembre 2005 à 13:59 +0100, Frédéric Bothamy a écrit :
> > > <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0870";>CVE-2005-0870</a>
> > >
> > > <p>Maksymilian Arciemowicz a découvert plusieurs problèmes de scripts
> > > intersites, qui n'avaient pas tous été corrigés par DSA 724.</p></li>
> >
> > Je mettrais plutôt : corrigés par la DSA 724.
> > (idem pour la DSA 899).
>
> Ok, je corrige.
Bonus : un titre en français pour l'annonce 899.
--
Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.3" maintainer="Simon Paillard"
<define-tag description>Erreurs de programmation</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans egroupware, une suite
logicielle de travail collaboratif par le web. Le projet « Common
Vulnerabilities and Exposures » a identifié les problèmes
suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0870";>CVE-2005-0870</a>
<p>Maksymilian Arciemowicz a découvert plusieurs problèmes de scripts
intersites dans phpsysinfo, également présents dans la version incluse dans
egroupware et qui n'avaient pas tous été corrigés par
la DSA 724.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-2600";>CVE-2005-2600</a>
<p>Alexander Heidenreich a découvert un problème de script intersites dans
la vue arborescente de « FUD Forum Bulletin Board Software »,
aussi présent dans egroupware et qui permet aux attaquants distants de lire
des messages privés en utilisant un paramètre « mid »
modifié.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3347";>CVE-2005-3347</a>
<p>Christopher Kunz a découvert que des variables locales étaient écrasées
sans condition dans phpsysinfo, ce qui est également le cas dans
egroupware, mais étaient pourtant considérées fiables par la suite. Cela
pouvait permettre l'inclusion de fichiers arbitraires.</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3348";>CVE-2005-3348</a>
<p>Christopher Kunz a découvert que les entrées provenant de l'utilisateur
étaient utilisées sans vérification dans phpsysinfo lui-même importé dans
egroupware, provoquant un problème de découpage de la réponse HTTP (<i>HTTP
Response splitting</i>).</p></li>
</ul>
<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas
egroupware.</p>
<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version 1.0.0.007-2.dfsg-2sarge4.</p>
<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version 1.0.0.009.dfsg-3-3.</p>
<p>Nous vous recommandons de mettre à jour vos paquets egroupware.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-899.data"
Reply to: