Le samedi 03 septembre 2005 à 09:15 +0200, Olivier Trichet a écrit : > Le Vendredi 2 Septembre 2005 17:49, Simon Paillard > <simon.paillard@resel.enst-bretagne.fr> a écrit : > > Bonjour, > > > > Voici la traduction de la pluie d'annonces de sécurité d'aujourd'hui. > > > > Merci d'avance pour vos relectures. > > Pas gd chose à dire Merci, j'ai tout intégré et mis à jour par rapport à la VO. -- Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard" <define-tag description>Éventuelle exécution de code</define-tag> <define-tag moreinfo> <p>« infamous42md » a rapporté que proftpd souffrait de deux vulnérabilités sur le format des chaînes de caractères. La première permettait à un utilisateur capable de créer un répertoire de déclencher l'erreur de format des chaînes de caractères si le mesage d'extinction de proftpd comportait les variables « %C », « %R » ou « %U ». Dans la deuxième, l'erreur était déclenchée si mod_sql était utilisé pour récupérer des messages depuis une base de données et si des chaînes de formatage ont été insérées dans la base de données par un utilisateur autorisé.</p> <p>L'ancienne distribution stable (<i>Woody</i>) n'est pas touchée par cette vulnérabilité.</p> <p>Pour l'actuelle distribution stable (<i>Sarge</i>), ce problème a été corrigé dans la version 1.2.10-15sarge1. Une erreur dans les paquets initialement préparés pour i386 a été corrigée dans la version 1.2.10-15sarge1.0.1 des paquets pour i386</p> <p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé dans la version 1.2.10-20.</p> <p>Nous vous recommandons de mettre à jour votre paquet proftpd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-795.data"
#use wml::debian::translation-check translation="1.2" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans phpgroupware, un système
de travail collaboratif par le web écrit en PHP. Le projet « Common
Vulnerabilities and Exposures » a identifié les problèmes
suivants :</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2498";>CAN-2005-2498</a>
<p>Stefan Esser a découvert une autre vulnérabilité dans les bibliothèques
XML-RPC, qui permettait l'injection de code PHP arbitraire à l'intérieur
d'expressions eval(). Le composant XMLRPC a été désactivé.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2600";>CAN-2005-2600</a>
<p>Alexander Heidenreich a découvert un problème de script sur les éléments
dynamiques (<i>cross-site scripting</i>) dans la vue arborescente de
« FUD Forum Bulletin Board Software », qui est aussi présent dans
phpgroupware.</p>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2761";>CAN-2005-2761</a>
<p>Une correction générale contre les scripts sur les éléments dynamiques
(<i>cross-site scripting</i>) a été également inclue et protège d'éventuels
scripts malveillants embarqués dans les fichiers CSS et xmlns des
applications et modules.</p>
</ul>
<p>Cette mise à jour contient également une correction du script de maintenance
postinst qui a été approuvé pour la prochaine mise à jour de la distribution
stable.</p>
<p>L'ancienne distribution stable (<i>Woody</i>) n'est pas touchée par ces
problèmes.</p>
<p>Pour l'actuelle distribution stable (<i>Sarge</i>), ces problèmes ont été
corrigés dans la version 0.9.16.005-3.sarge2.</p>
<p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés
dans la version 0.9.16.008.</p>
<p>Nous vous recommandons de mettre à jour vos paquets phpgroupware.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-798.data"
Attachment:
signature.asc
Description: This is a digitally signed message part