Re: [RFR] wml://security/2009/dsa-17{19,20}.wml
Bonjour,
Le jeudi 12 février 2009, Jean-Edouard Babin a écrit...
> 2 DSA seulement, les autres n'ayant pas encore était mise dans le CVS.
>
diff pour les 4 dsa
--
jm
A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr
diff -aburN dsa/dsa-1717.wml dsa.jm/dsa-1717.wml
--- dsa/dsa-1717.wml 2009-02-12 21:05:59.806143451 +0100
+++ dsa.jm/dsa-1717.wml 2009-02-12 21:13:00.871406232 +0100
@@ -2,7 +2,7 @@
<define-tag description>Débordement de mémoire tampon</define-tag>
<define-tag moreinfo>
<p>Stefan Cornelius a découvert un débordement de mémoire tampon dans devil, un outil
-multi plate-forme pour la manipulation des images, qui peut -être déclanché via un fichier
+multi plate-forme pour la manipulation des images, qui peut être déclenché via un fichier
Radiance RGBE. Ceci peut conduire à l'exécution de code arbitraire.</p>
<p>Pour la distribution stable (Etch), ce problème a été corrigé dans la version 1.6.7-5+etch1.</p>
diff -aburN dsa/dsa-1719.wml dsa.jm/dsa-1719.wml
--- dsa/dsa-1719.wml 2009-02-12 21:09:28.191404534 +0100
+++ dsa.jm/dsa-1719.wml 2009-02-12 21:15:51.063404710 +0100
@@ -3,14 +3,15 @@
<define-tag moreinfo>
<p>Martin von Gagern a découvert que GNUTLS, une implémentation du protocole
TLS/SSL, ne vérifie pas correctement les chaînes de certificats X.509 si les
-certificats auto-signé sont configuré comme certificat de confiance.
+certificats auto-signés sont configurés comme certificats de confiance.
Cela pourrait entraîner des clients à prendre de faux certificats pour de véritables.
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4989";>CVE-2008-4989</a>)</p>
<p>
Cette mise à jour renforce également les contrôles pour les certificats X.509v1.
-Ceci a comme conséquence le rejet de certaines chaînes de ce certificat précédemment accepté d'accepter.
-(dans la chaîne de traitement des certificat GNUTLS reconnaît les certificats X.509v1 comme valable que si c'est demandé explicitement par l'application.)
+Ceci a comme conséquence le rejet de certaines chaînes d'un de ces certificats précédemment acceptés.
+(dans la chaîne de traitement des certificats, GNUTLS ne reconnaîtra un certificat X.509v1 comme valable
+que si c'est demandé explicitement par l'application.)
</p>
<p>Pour la distribution stable (Etch), ce problème a été corrigé dans la version 1.4.4-3+etch3.</p>
diff -aburN dsa/dsa-1720.wml dsa.jm/dsa-1720.wml
--- dsa/dsa-1720.wml 2009-02-12 21:09:29.675431829 +0100
+++ dsa.jm/dsa-1720.wml 2009-02-12 21:19:35.183403795 +0100
@@ -4,18 +4,17 @@
<p>Plusieurs vulnérabilités distantes ont été découvertes dans le gestionnaire de contenu web TYPO3.</p>
<p>Marcus Krause et Michael Stucki de l'équipe sécurité de TYPO3
-ont découvert que le mechanisme jumpUrl révèle des hachages secrets
+ont découvert que le mécanisme jumpUrl révèle des hachages secrets
permettant à un attaquant distant de contourner le contrôle d'accès
en envoyant la bonne valeur en paramètre de l'URL. Ceci peut conduire
à la capacité de lire le contenu de fichiers arbitraires.</p>
-<p>Jelmer de Hen et Dmitry Dulepov ont découvert plusieurs faille de script
+<p>Jelmer de Hen et Dmitry Dulepov ont découvert plusieurs failles de script
inter-sites dans le backend de l'interface utilisateur. Ceci permet à des
attaquants distants d'injecter des scripts web arbitraires ou du code HTML.</p>
-<p>Comme il est très probable que votre clé de cryptage a été exposé, nous vous
-recommandons vivement de modifier votre clé de chiffrage via l'outil
-d'installation après avoir installé la mise à jour.</p>
+<p>Comme il est très probable que votre clé de chiffrement ait été exposée, nous vous
+recommandons vivement de modifier votre clé via l'outil d'installation après avoir effectué la mise à jour.</p>
<p>Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 4.0.2+debian-8.</p>
Reply to: