Salut, Une mise à jour de sécurité a été mise en ligne, et j'en ai traduit deux plus anciennes, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs problèmes</define-tag> <define-tag moreinfo> <p> Paul McMillan, Mozilla et l'équipe principale de Django ont découvert plusieurs vulnérabilités dans Django, une structure de développement web en Python : </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4136";>CVE-2011-4136</a> <p> En utilisant des sessions basées sur la mémoire et le cache, les sessions Django sont enregistrées directement dans l'espace de nom racine du cache. Si des données utilisateurs sont enregistrées dans le même cache, un utilisateur distant pourrait s'emparer d'une session. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4137";>CVE-2011-4137</a>, <a href="http://security-tracker.debian.org/tracker/CVE-2011-4138";>CVE-2011-4138</a> <p> Le type de champ URLfield de Django vérifie par défaut l'URL fournie en lui envoyant une requête, sans limite de temps. Un déni de service est possible en fournissant une URL préparée pour l'occasion qui garde la connexion ouverte indéfiniment ou remplit la mémoire du serveur Django. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4139";>CVE-2011-4139</a> <p> Django utilisait des en-têtes X-Forwarded-Host pour construire une URL complète. Cet en-tête pourrait ne pas contenir une entrée de confiance et pourrait être utilisée pour empoisonner le cache. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-4140";>CVE-2011-4140</a> <p> Le mécanisme de protection contre les contrefaçons de requête intersite (CSRF) de Django ne traite pas correctement les configurations de serveur web qui gèrent les en-têtes Host HTTP arbitraires. Cela permet aux attaquants distants de déclencher des requêtes contrefaites non authentifiées. </p></li> </ul> <p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.0.2-1+lenny3.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.3-3+squeeze2.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.3.1-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-django.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2332.data" # $Id: dsa-2332.wml,v 1.1 2011-10-29 13:51:57 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Vérification d'entrées manquante</define-tag> <define-tag moreinfo> <p> GForge, une plateforme de développement collaborative, est prédisposée à une attaque de script intersite à l'aide du paramètre helpname. En plus de corriger ce problème, la mise à jour introduit aussi des vérifications d'entrées supplémentaires. Cependant, aucun vecteur d'attaque n'est connu. </p> <p>Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 4.5.14-22etch12.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 4.7~rc2-7lenny2.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.8.1-3.</p> <p>Nous vous recommandons de mettre à jour vos paquets gforge.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1937.data" # $Id: dsa-1937.wml,v 1.1 2009-11-21 11:01:50 spaillard Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p> Jan Lieskovsky a découvert une erreur dans Expat, une bibliothèque C pour l'analyse du XML, lors de l'analyse de certaines suites UTF-8, ce qui peut être exploité pour planter une application utilisant la bibliothèque. </p> <p>Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 1.95.8-3.4+etch2.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.0.1-4+lenny2.</p> <p> Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème sera corrigé dans la version 2.0.1-6. </p> <p> Les constructions de l'architecture mipsel pour la distribution oldstable ne sont pas encore prêtes. Elles seront publiées dès qu'elles seront disponibles. </p> <p>Nous vous recommandons de mettre à jour vos paquets expat.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1953.data" # $Id: dsa-1953.wml,v 1.1 2009-12-15 20:44:58 spaillard Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature