Le 07/09/2011 18:33, Stéphane Blondon a écrit : > Le 6 septembre 2011 05:23, David Prévot <david@tilapin.org> a écrit : >> Une mise à jour de sécurité a été mise en ligne, et j'en ai traduit deux >> plus anciennes, par avance merci pour vos relectures. > > Détails sur dsa-2016 en pièce jointe. Intégrés, merci. > Concernant dsa-2020, il y a une erreur dans la VO. Le texte parle > d'ikwiki alors que c'est ikiwiki selon la définition de l'annonce Bien vu, corrigé aussi dans la VO et les autres traductions. Par avance merci pour vos dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Rails, le cadre de travail d'application web en Ruby. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-4214";>CVE-2009-4214</a> <p> Une vulnérabilité de script intersite (XSS) a été découverte dans la fonction strip_tags. Un attaquant pourrait injecter des caractères non imprimables que certains navigateurs évalueraient alors. Celle vulnérabilité ne concerne que la distribution oldstable (Lenny). </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2930";>CVE-2011-2930</a> <p> Une vulnérabilité d'injection SQL a été découverte dans la méthode quote_table_name. Cela pourrait permettre à des utilisateurs malveillants d'injecter du SQL arbitraire dans une requête. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2931";>CVE-2011-2931</a> <p> Une vulnérabilité de script intersite (XSS) a été découverte dans l'assistant strip_tags. Une erreur d'analyse peut être exploitée par un attaquant, qui peut tromper l'analyseur et pourrait injecter des étiquettes HTML dans un document en sortie. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3186";>CVE-2011-3186</a> <p> Une vulnérabilité d'injection de fin de ligne (CRLF) a été trouvée dans response.rb. Cette vulnérabilité permet à un attaquant d'injecter des en-têtes HTTP arbitraires et de réaliser des attaques de séparation de réponse HTTP à l'aide de l'en-tête Content-Type. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.1.0-7+lenny1.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.5-1.2+squeeze1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.14.</p> <p>Nous vous recommandons de mettre à jour vos paquets rails.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2301.data" # $Id: dsa-2301.wml,v 1.2 2011-09-06 03:29:38 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Vérification d'entrée manquante</define-tag> <define-tag moreinfo> <p> Ivan Shmakov a découvert que le composant htmlscrubber d'ikiwiki, un compilateur de wiki, ne réalise pas assez de vérification d'entrée sur les URI data:image/svg+xml. Comme elles peuvent contenir du code de script, cela peut être utilisé par un attaquant pour réaliser des attaques par script intersite. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.53.5.</p> <p>Pour la distribution testing (Squeeze), ce problème a été corrigé dans la version 3.20100312.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.20100312.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2020.data" # $Id: dsa-2020.wml,v 1.2 2011-09-07 22:47:36 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités (SA-CORE-2010-001) ont été découvertes dans Drupal 6, un système de gestion de contenu complet. </p> <h3>Script intersite à l'installation</h3> <p> Une valeur fournie par l'utilisateur est directement affichée pendant l'installation, permettant à un utilisateur malveillant de contrefaire une URL et réaliser une attaque par script intersite. L'exploitation de cette faille ne peut être réalisée que sur des sites non encore installés. </p> <h3>Redirection ouverte</h3> <p> La fonction API drupal_goto() est susceptible d'une attaque par hameçonnage. Un attaquant pourrait formuler une redirection de façon à obtenir du site Drupal qu'il envoie l'utilisateur vers une URL arbitrairement fournie. Aucune donnée soumise par l'utilisateur ne sera envoyée à cette URL. </p> <h3>Script intersite dans le module de localisation</h3> <p> Le module de localisation et les modules contribués qui en dépendent ne nettoient pas correctement l'affichage des codes de langue, et noms de langue en anglais et en langue d'origine. Même s'ils viennent normalement d'une liste de présélection, une entrée arbitraire d'un administrateur est permise. Cette vulnérabilité est atténuée du fait que l'attaquant doit avoir un rôle avec les droits d'<q>administrateur de langues</q>. </p> <h3>Régénération de session d'un utilisateur bloqué</h3> <p> Dans certaines circonstances, un utilisateur bloqué avec une session ouverte peut maintenir sa session sur le site Drupal, même s'il est bloqué. </p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 6.6-3lenny5.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 6.16-1, qui migrera bientôt vers la distribution testing (Squeeze).</p> <p>Nous vous recommandons de mettre à jour votre paquet drupal6.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2010/dsa-2016.data" # $Id: dsa-2016.wml,v 1.2 2011-09-07 22:47:36 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature