[LCFC] wml://security/2011/dsa-218{7,6}.wml

[David Prévot <david@tilapin.org>]

Le 11/03/2011 03:42, JP Guillonneau a écrit :
> Bonjour,

Salut,

> suggestions.

Merci

>  Peleus Uhley a découvert un risque de requête
> -intersite contrefaite dans le code des plugins.
> +intersite contrefaite dans le code des greffons.

J'avais utilisé « plugins » car c'est le nom utilisé dans la version
française. D'un autre côté, je ne sais pas s'il est fait référence aux
plugins, aux extensions, ou plus généralement aux modules
complémentaires... Bref, j'ai appliqué la proposition.

>  Plusieurs vulnérabilités ont été découvertes dans Icedove, une
> -version sans marque du client de messagerie et de news Thunderbird.
> +version sans marque du client de messagerie et de nouvelles Thunderbird.

Ce n'est effectivement pas joli, j'ai repris le vocabulaire de la
traduction française de l'interface : groupe de discussion.

Par avance merci pour vos dernières remarques.

Amicalement

David

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans Icedove, une
version sans marque du client de messagerie et de groupes de discussion Thunderbird.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1585";>CVE-2010-1585</a>
<p>
Roberto Suggi Liverani a découvert que la vérification
réalisée par ParanoidFragmentSink était incomplète.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0051";>CVE-2011-0051</a>
<p>
Zach Hoffmann a découvert que l'analyse incorrecte
d'appels eval() récursifs pouvait permettre aux attaquants
de forcer la confirmation d'une boîte de dialogue.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0053";>CVE-2011-0053</a>
<p>
Des plantages dans le moteur de mise en page
peuvent permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0054";>CVE-2011-0054</a>,
    <a href="http://security-tracker.debian.org/tracker/CVE-2010-0056";>CVE-2010-0056</a>
<p>
Christian Holler a découvert des débordements de tampon dans le moteur
Javascript qui peuvent permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0055";>CVE-2011-0055</a>
<p>
<q>regenrecht</q> et Igor Bukanov ont découvert une erreur d'utilisation de
mémoire après libération (<q>use-after-free</q>) dans l'implémentation de JSON.

Cela pourrait permettre l'exécution de code arbitraire.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0057";>CVE-2011-0057</a>
<p>
Daniel Kozlowski a découvert que l'implémentation incorrecte de mémoire traitant
les <q>web workers</q> pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0059";>CVE-2011-0059</a>
<p>
Peleus Uhley a découvert un risque de requête
intersite contrefaite dans le code des greffons.
</p></li>

</ul>

<p>
Conformément aux notes de publication de Lenny (oldstable), le suivi
en sécurité des paquets Icedove de oldstable a dû être arrêté avant
la fin du cycle de vie normal de Lenny en terme de suivi en sécurité.

Nous vous recommandons fortement de mettre à niveau vers
stable, ou de basculer vers un autre client de messagerie.
</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.0.11-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets icedove.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2187.data"
# $Id: dsa-2187.wml,v 1.2 2011-03-11 03:44:35 taffit-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans
Iceweasel, un navigateur web basé sur Firefox.

La bibliothèque XULRunner embarquée fournit des services de
rendu pour plusieurs autres applications inclues dans Debian.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2010-1585";>CVE-2010-1585</a>
<p>
Roberto Suggi Liverani a découvert que la vérification
réalisée par ParanoidFragmentSink était incomplète.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0051";>CVE-2011-0051</a>
<p>
Zach Hoffmann a découvert que l'analyse incorrecte
d'appels eval() récursifs pouvait permettre aux attaquants
de forcer la confirmation d'une boîte de dialogue.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0053";>CVE-2011-0053</a>
<p>
Des plantages dans le moteur de mise en page
peuvent permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0054";>CVE-2011-0054</a>, 
    <a href="http://security-tracker.debian.org/tracker/CVE-2010-0056";>CVE-2010-0056</a>
<p>
Christian Holler a découvert des débordements de tampon dans le moteur
Javascript qui peuvent permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0055";>CVE-2011-0055</a>
<p>
<q>regenrecht</q> et Igor Bukanov ont découvert une erreur d'utilisation de
mémoire après libération (<q>use-after-free</q>) dans l'implémentation de JSON.

Cela pourrait permettre l'exécution de code arbitraire.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0057";>CVE-2011-0057</a>
<p>
Daniel Kozlowski a découvert que l'implémentation incorrecte de mémoire traitant
les <q>web workers</q> pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0059";>CVE-2011-0059</a>
<p>
Peleus Uhley a découvert un risque de requête
intersite contrefaite dans le code des greffons.
</p></li>

</ul>

<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.9.0.19-8 du paquet source xulrunner.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-5.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.5.17-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2186.data"
# $Id: dsa-2186.wml,v 1.1 2011-03-10 14:27:36 taffit-guest Exp $

Attachment: signature.asc
Description: OpenPGP digital signature