Salut, Une mise à jour de sécurité a été mise en ligne, et j'en ai traduit cinq plus anciennes, par avance merci pour vos relectures. TL;DR: Youpi ! Il ne reste maintenant plus que deux cents vieilles annonces de sécurité non traduites en français, et un peu moins, 190, autres pages non traduites en français sur le site (pour 5290 pages disponibles). Avec 92,6 % (4900 sur 5290) de fichiers traduits, le français est la langue la mieux représentée après l'anglais sur le site. J'avais commencé à traduire les anciennes annonces de sécurité il y a un peu moins d'un an, en reprenant le flambeau de traduction des annonces de sécurité qui avait été abandonné deux ans auparavant, histoire de prendre le coup, et d'améliorer le script d'aide : un peu plus de deux cents nouvelles annonces et à peu près autant d'anciennes ont été traduites cette année, merci aux relecteurs qui ont permis d'assurer la qualité du travail. Si vous voulez aussi vous faire la main sur de vieilles annonces de sécurité (ça demande un petit effort pour être opérationnel sur le jargon utilisé), dépêchez-vous de vous jeter dessus car il n'en reste plus beaucoup ;-). Ça me convient de continuer à traduire les nouvelles annonces de sécurité au rythme où elles arrivent, mais si d'autres personnes veulent jouer aussi, je veux bien partager. Si vous voulez traduire d'autres pages du site, vous pouvez jeter un œil sur la page de statistiques [1] pour trouver votre bonheur, il y a quelques TAF qui traînent sur le robot [2] aussi, et si la documentation en ligne [3] ne suffit pas ou si vous avez un doute, n'hésitez pas à poser vos questions à la liste. 1 : http://www.debian.org/devel/website/stats/fr 2 : http://i18n.debian.net/debian-l10n/french/fr.by_translator.html 3 : http://www.debian.org/international/french/web Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans lighttpd, un serveur web petit et rapide avec une empreinte mémoire minimale. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4362";>CVE-2011-4362</a> <p> Xi Wang a découvert que la routine de décodage base64 utilisée pour décoder l'entrée de l'utilisateur lors d'une authentification HTTP, soufre d'un problème de signe lors du traitement de l'entrée de l'utilisateur. Par conséquent, il est possible de forcer lighttpd à réaliser une lecture hors limites avec pour conséquence des conditions de déni de service. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-3389";>CVE-2011-3389</a> <p> Lors de l'utilisation de chiffrement CBC sur un hôte virtuel avec SSL activé pour communiquer avec un certain client, une attaque dite <q>BEAST</q> permet aux attaquants en homme au milieu d'obtenir le trafic en texte non chiffré à l'aide d'une attaque de blocs de frontière choisie (BCBA) sur une session HTTPS. Techniquement, ce n'est pas une vulnérabilité de lighttpd. Cependant, lighttpd offre un contournement pour modérer ce problème en fournissant la possibilité de désactiver les chiffrements CBC. </p> <p> Cette mise à jour fournit cette option par défaut. Nous conseillons aux administrateurs système de lire le fichier NEWS de cette mise à jour (car cela peut casser des clients plus anciens). </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.4.19+lenny3.</p></li> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.4.28-2+squeeze1.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.30-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets lighttpd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2368.data" # $Id: dsa-2368.wml,v 1.1 2011-12-21 01:51:48 taffit Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités distantes ont été découvertes dans le système de gestion de contenu web TYPO3. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3628";>CVE-2009-3628</a> <p> Le sous-composant Backend permet aux utilisateurs authentifiés distants de déterminer une clef de chiffrement à l'aide d'une entrée contrefaite dans un champ de formulaire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3629";>CVE-2009-3629</a> <p> Plusieurs vulnérabilités de script intersite (XSS) dans le sous-composant Backend permettent aux utilisateurs authentifiés distants d'injecter un script web arbitraire ou du HTML. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3630";>CVE-2009-3630</a> <p> Le sous-composant Backend permet aux utilisateurs authentifiés distants de placer des sites web arbitraires dans les ensembles de cadres (<q>framesets</q>) de moteur TYPO3 à l'aide de paramètres contrefaits. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3631";>CVE-2009-3631</a> <p> Le sous-composant Backend, lorsque l'extension DAM ou l'envoi FTP sont activés, permet aux utilisateurs authentifiés distants d'exécuter des commandes arbitraires à l'aide de métacaractères de l'interpréteur dans un nom de fichier. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3632";>CVE-2009-3632</a> <p> Une vulnérabilité d'injection SQL dans la fonctionnalité d'édition de l'interface traditionnelle du sous-composant Frontend Editing permet aux utilisateurs authentifiés distants d'exécuter des commandes SQL arbitraires. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3633";>CVE-2009-3633</a> <p> Une vulnérabilité de script intersite (XSS) permet aux attaquants distants d'injecter un script web arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3634";>CVE-2009-3634</a> <p> Une vulnérabilité de script intersite (XSS) dans le sous-composant Frontend Login Box (alias felogin) permet aux attaquants distants d'injecter un script web arbitraire ou du HTML. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3635";>CVE-2009-3635</a> <p> Le sous-composant Install Tool permet aux attaquants distants d'obtenir un accès en utilisant seulement le hachage md5 du mot de passe pour s'authentifier. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3636";>CVE-2009-3636</a> <p> Une vulnérabilité de script intersite (XSS) dans le sous-composant Install Tool permet aux attaquants distants d'injecter un script web arbitraire ou du HTML. </p></li> </ul> <p>Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 4.0.2+debian-9.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 4.2.5-1+lenny2.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.2.10-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet typo3-src.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1926.data" # $Id: dsa-1926.wml,v 1.3 2010-12-17 14:40:26 taffit-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Deux vulnérabilités ont été découvertes dans mahara, un portefeuille électronique complet, blog et constructeur de curriculum vitæ. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3298";>CVE-2009-3298</a> <p> Ruslan Kabalin a découvert un problème avec la réinitialisation de mots de passe, ce qui pourrait conduire à une augmentation de droits d'un compte administrateur institutionnel. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3299";>CVE-2009-3299</a> <p> Sven Vetsch a découvert une vulnérabilité de script intersite à l'aide des champs de curriculum vitæ. </p></li> </ul> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.0.4-4+lenny4.</p> <p>La distribution oldstable (Etch) ne contient pas mahara.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets mahara.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1924.data" # $Id: dsa-1924.wml,v 1.3 2010-12-17 14:40:25 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Fonction d'échappement manquante</define-tag> <define-tag moreinfo> <p> postgresql-ocaml, liaisons (<q>bindings</q>) OCaml pour libpq de PostgreSQL, n'avait pas de fonction pour appeler PQescapeStringConn(). C'est nécessaire car PQescapeStringConn() respecte le jeu de caractères de la connexion et évite des protections insuffisantes quand certains encodages de caractères multioctets sont utilisés. La nouvelle fonction s'appelle escape_string_conn(), et prend la connexion à la base de données en premier argument. L'ancienne fonction escape_string() a aussi été gardée pour la compatibilité ascendante. </p> <p> Nous recommandons aux développeurs utilisant ces liaisons d'ajuster leur code pour utiliser la nouvelle fonction. </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 1.5.4-2+etch1.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.7.0-3+lenny1.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.12.1-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets postgresql-ocaml.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1909.data" # $Id: dsa-1909.wml,v 1.1 2009-10-15 08:37:58 spaillard Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Fonction d'échappement manquante</define-tag> <define-tag moreinfo> <p> ocaml-mysql, liaisons (<q>bindings</q>) OCaml pour MySQL, n'avait pas de fonction pour appeler mysql_real_escape_string(). C'est nécessaire car mysql_real_escape_string() respecte le jeu de caractères de la connexion et évite des protections insuffisantes quand certains encodages de caractères multioctets sont utilisés. La nouvelle fonction s'appelle real_escape(), et prend la connexion à la base de données en premier argument. L'ancienne fonction escape_string() a aussi été gardée pour la compatibilité ascendante. </p> <p> Nous recommandons aux développeurs utilisant ces liaisons d'ajuster leur code pour utiliser la nouvelle fonction. </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 1.0.4-2+etch1.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.0.4-4+lenny1.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets mysql-ocaml.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1910.data" # $Id: dsa-1910.wml,v 1.1 2009-10-15 08:37:59 spaillard Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Validation des entrées insuffisante</define-tag> <define-tag moreinfo> <p> La bibliothèque de formulaires de Django, une structure de développement web haut niveau en Python, utilise une expression rationnelle mal choisie lors de la validation des adresses électroniques et des URL. Un attaquant peut utiliser cela pour réaliser des attaques par déni de service (consommation de 100 % du processeur) à cause d'un mauvais retour en arrière à l'aide d'une adresse électronique ou d'une URL contrefaites pour l'occasion, validées par la bibliothèque de formulaires de Django </p> <p> python-django dans la distribution oldstable (Etch), n'est pas concerné par ce problème. </p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.0.2-1+lenny2.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.1.1-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-django.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1905.data" # $Id: dsa-1905.wml,v 1.1 2009-10-11 11:47:04 spaillard Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature