[RFR] wml://security/20{09/dsa-1951,09/dsa-1956,11/dsa-2344,11/dsa-2345}.wml

[David Prévot <david@tilapin.org>]

Salut,

Deux mises à jour de sécurité ont été mises en ligne, et j'en ai traduit
deux plus anciennes, par avance merci pour vos relectures.

Amicalement

David



#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans
Icedove, un client de messagerie basé sur Thunderbird.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3647";>CVE-2011-3647</a>
<p>
Le JSSubScriptLoader ne traite pas correctement XPCNativeWrappers lors des
appels à la méthode loadSubScript dans un greffon, ce qui facilite l'obtention
de droits aux attaquants distants à l'aide d'un site web contrefait
qui exploite un certain comportement de déballage (<q>unwrapping</q>).
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3648";>CVE-2011-3648</a>
<p>
Une vulnérabilité de script intersite (XSS) permet aux
attaquants distants d'injecter un script web arbitraire ou du
HTML Ã  l'aide de texte contrefait avec l'encodage Shift JIS.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3650";>CVE-2011-3650</a> 
<p>
Iceweasel ne traite pas correctement les fichiers
JavaScript qui contiennent plusieurs fonctions.

Cela permet aux attaquants distants aidés par un utilisateur de provoquer
un déni de service (corruption de mémoire et plantage d'application)
ou éventuellement avoir d'autres conséquences non précisées à 
l'aide d'un fichier contrefait qui est accédé par les interfaces de
programmation de débogage, conformément à la démonstration de Firebug.
</p></li>

</ul>

<p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.0.11-1+squeeze6.</p>

<p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.1.15-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets icedove.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2345.data"
# $Id: dsa-2345.wml,v 1.1 2011-11-11 21:54:42 taffit Exp $

#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Vulnérabilité de désérialisation</define-tag>
<define-tag moreinfo>
<p>
La structure de développement Piston peut désérialiser des données YAML
et Pickle non fiables, permettant l'exécution de code à distance (<a
href="http://security-tracker.debian.org/tracker/CVE-2011-4103";>CVE-2011-4103</a>).
</p>

<p>L'ancienne distribution stable (Lenny) ne contient pas de paquet python-django-piston.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.2.2-1+squeeze1.</p>

<p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 0.2.2-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django-piston.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2344.data"
# $Id: dsa-2344.wml,v 1.1 2011-11-11 20:48:50 taffit Exp $

#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Vérification d'entrées manquante</define-tag>
<define-tag moreinfo>
<p>
Sage, un lecteur léger de flux RSS et Atom pour Firefox, ne vérifie
pas correctement les informations du flux RSS, ce qui le rend
prédisposé aux attaque de script intersite et de script interdomaine.
</p>

<p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 1.3.6-4etch1.</p>

<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.4.2-0.1+lenny1.</p>

<p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.3-3.</p>


<p>Nous vous recommandons de mettre à jour vos paquets firefox-sage.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1951.data"
# $Id: dsa-1951.wml,v 1.1 2009-12-15 13:53:32 spaillard Exp $

#use wml::debian::translation-check translation="1.3" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes
dans XULRunner, un environnement d'exécution pour
les applications XUL, comme le navigateur Iceweasel.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3986";>CVE-2009-3986</a>:
<p>
David James a découvert que la propriété
window.opener permet à Chrome d'augmenter des droits.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3985";>CVE-2009-3985</a>:
<p>
Jordi Chanel a découvert une vulnérabilité d'usurpation de la
barre d'adresse (URL) utilisant la propriété document.location.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3984";>CVE-2009-3984</a>:
<p>
Jonathan Morgan a découvert que l'icône indiquant une connexion sécurisé
pourrait être usurpé à l'aide de la propriété document.location.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3983";>CVE-2009-3983</a>:
<p>
Takehiro Takahashi a découvert que l'implémentation
NTLM est vulnérable aux attaques par réflexion.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3981";>CVE-2009-3981</a>:
<p>
Jesse Ruderman a découvert un plantage dans le moteur de rendu,
ce qui pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3979";>CVE-2009-3979</a>:
<p>
Jesse Ruderman, Josh Soref, Martijn Wargers, Jose Angel et Olli
Pettay ont découvert des plantages dans le moteur de rendu,
ce qui pourrait permettre l'exécution de code arbitraire.
</p></li>

</ul>

<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.9.0.16-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.1.6-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xulrunner.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1956.data"
# $Id: dsa-1956.wml,v 1.3 2011-10-09 11:11:01 florian Exp $