#use wml::debian::translation-check translation="1.2" maintainer="Jean-Edouard Babin"
<define-tag description>Injection de commande de terminal</define-tag>
<define-tag moreinfo>
<p>Il a été découvert que gitweb, l'interface web pour le système de contrôle de version Git connaît plusieurs vulnérabilités :</p>

<p>Une attaque distantes utilisant des requêtes à cet effet permet 
d'exécuter des commandes de terminal sur le serveur web via le générateur de
snapshot et la fonctionnalité de recherche pickaxe (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5516">CVE-2008-5516</a>).</p>

<p>Les utilisateurs locaux ayant les droits en écriture sur la configuration du dépot Git
accessible via gitweb peuvent faire exécuter des commandes de terminal à gitweb avec les permissions du serveur web
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5517">CVE-2008-5517</a>).</p>

<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.4.4.4-4+etch1.</p>

<p>Pour la distribution unstable (Sid) et testing (Lenny),
l'attaque distante (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5516">CVE-2008-5516</a>) est corrigé dans la
version 1.5.6-1. L'autre problème sera corrigé prochainement.</p>

<p>Nous vous recommandons de mettre à jour vos paquets Git.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1708.data"
# $Id: dsa-1708.wml,v 1.2 2009/01/21 06:41:35 kaare Exp $