[RFR] webwml://security/2006/{dsa-956,dsa-957,dsa-958}.wml

[Simon Paillard <simon.paillard@resel.enst-bretagne.fr>]

Bonsoir,

Voici les traductions des dernières annonces de sécurité.

Dans l'annoce 957 touchant imagemagick, je n'arrive pas à saisir le sens
de « delegate code ».

Merci d'avance pour vos relectures, et bon week-end :)


-- 
Simon Paillard

#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Fuite de descripteurs de fichiers</define-tag>
<define-tag moreinfo>
<p>Stefan Pfetzing a découvert que lshd, un serveur alternatif pour le
protocole SSH2, dévoilait un certain nombre de descripteurs de fichiers &mdash;
liés au générateur de nombres aléatoires &mdash; aux invites de commandes
lancées par lshd. Un attaquant local pouvait modifier le fichier de graine
(«&nbsp;seed&nbsp;») du serveur, ce qui pouvait empêcher le serveur de
démarrer, voire avec plus d'efforts permettre de casser les clés de
session.</p>

<p>Après avoir appliqué cette mise à jour, vous devriez supprimer le fichier de
graine (/var/spool/lsh/yarrow-seed-file) puis le regénérer en exécutant
<code>lsh-make-seed --server</code> en superutilisateur.</p>


<p>Pour des raisons de sécurité, lsh-make-seed doit être lancé depuis une
console locale du système concerné. Si vous lancez lsh-make-seed depuis une
invite de commande distante, l'information temporelle utilisée par
lsh-make-seed pour la graine aléatoire peut être truquée. Si nécessaire, vous
pouvez générer la graine aléatoire sur un autre système que le système
concerné, en installant le paquet lsh-utils et en exécutant <code>lsh-make-seed
-o my-other-server-seed-file</code>. Vous pouvez ensuite transférer la graine
au système destinatire en utilisant une connexion sécurisée.</p>

<p>L'ancienne distribution stable (<em>Woody</em>) ne semble pas touchée par ce
problème.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version&nbsp;2.0.1-3sarge1.</p>

<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version&nbsp;2.0.1cdbs-4.</p>

<p>Nous vous recommandons de mettre à jour votre paquet lsh-server.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-956.data"

#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Mauvaise vérification des métacaractères de l'invite de commande<define-tag>
<define-tag moreinfo>
<p>Florian Weimer a découvert que du code partagé dans ImageMagick permettait
d'injecter des commandes en utilisant des noms de fichiers spécialement conçus.
Les attaquants pouvaient appeler des commandes depuis l'intérieur des fichiers
graphiques. Sous réserve d'interaction avec l'utilisateur, cette vulnérabilité
était exploitable à travers Gnus en Thunderbird.</p> 

<p>Pour l'ancienne distribution stable (<em>Woody</em>), ce problème a été
corrigé dans la version&nbsp;5.4.4.5-1woody7.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ce problème a été
corrigé dans la version&nbsp;6.0.6.2-2.5.</p>

<p>Pour la distribution instable (<em>Sid</em>), ce problème a été corrigé dans
la version&nbsp;6.2.4.5-0.6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets imagemagick.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-957.data"

#use wml::debian::translation-check translation="1.1" maintainer="Simon Paillard"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs problème de sécurité ont été découverts dans drupal, un moteur web
de discussion et de gestion de contenu. Le projet «&nbsp;Common Vulnerabilities
and Exposures&nbsp;» a identifié les problèmes suivants&nbsp;:</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3973";>CVE-2005-3973</a>

    <p>Plusieurs vulnérabilités de scripts intersites permettaient à des
    attaquants distants d'injecter des scripts web ou HTML
    arbitraires.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3974";>CVE-2005-3974</a>

    <p>Lorsque Drupal était exécuté par PHP5, il n'appliquait pas correctement
    les droits des utilisateurs, ce qui permettait à des attaquants distants de
    contourner les vérifications d'accès aux profils d'utilisateurs.</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3975";>CVE-2005-3975</a>

    <p>Un conflit d'interprétation permettait à des utilisateurs distants
    authentifiées d'injecter des scripts web ou HTML dans des fichiers avec une
    extension GIF ou JPEG.</p></li>

</ul>

<p>L'ancienne distribution stable (<em>Woody</em>) ne contient pas drupal.</p>

<p>Pour l'actuelle distribution stable (<em>Sarge</em>), ces problèmes ont été
corrigés dans la version&nbsp;4.5.3-5.</p>

<p>Pour votre distribution instable (<em>Sid</em>), ces problèmes ont été
corrigés dans la version&nbsp;4.5.6-1.</p>

<p>Nous vous recommandons de mettre à jour votre paquet drupal.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-958.data"