[LCFC] wml://security/20{09/dsa-1922,09/dsa-1947,11/dsa-2334}.wml

[David Prévot <david@tilapin.org>]

Salut,

On 07/11/2011 18:54, Stéphane Blondon wrote:

> Juste un détail.

Corrigé, merci, et merci d'avance pour vos dernières remarques.

Amicalement

David

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans Mahara, un portefeuille
électronique complet, blog et constructeur de curriculum vitæ.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2771";>CVE-2011-2771</a>
<p>
Teemu Vesala a découvert qu'une absence de vérification des
entrées de flux RSS pourrait conduire à un script intersite.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2772";>CVE-2011-2772</a>
<p>
Richard Mansfield a découvert que des restrictions
d'envoi insuffisantes permettaient un déni de service.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2011-2773";>CVE-2011-2773</a>
<p>
Richard Mansfield a découvert que la gestion des institutions
était prédisposée à une contrefaçon de requête intersite.
</p></li>

<li>(Pas encore d'identifiant CVE)
<p>
Andrew Nichols a découvert une vulnérabilité
d'augmentation de droits dans le traitement de MNet.
</p></li>

</ul>

<p>Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.0.4-4+lenny11.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.6-2+squeeze3.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.1-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets mahara.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2334.data"
# $Id: dsa-2334.wml,v 1.1 2011-11-04 21:40:14 taffit Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités distantes ont été découvertes
dans Xulrunner, un environnement d'exécution pour les
applications XUL, comme le navigateur Iceweasel.

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3380";>CVE-2009-3380</a>
<p>
Vladimir Vukicevic, Jesse Ruderman, Martijn Wargers, Daniel Banchero, David
Keeler et Boris Zbarsky ont signalé des plantages dans le moteur de rendu.

Cela peut permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3382";>CVE-2009-3382</a>
<p>
Carsten Book a signalé un plantage dans le moteur de rendu.

Cela peut permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3376";>CVE-2009-3376</a>
<p>
Jesse Ruderman et Sid Stamm ont découvert une vulnérabilité
d'usurpation dans la boite de dialogue de téléchargement de fichier.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3375";>CVE-2009-3375</a>
<p>
Gregory Fleischer a découvert un contournement de la politique de
même origine en utilisant la fonction document.getSelection().
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3374";>CVE-2009-3374</a>
<p>
<q>moz_bug_r_a4</q> a découvert une augmentation de droits de
l'état Chrome dans l'utilitaire XPCOM XPCVariant::VariantDataToJS.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3373";>CVE-2009-3373</a>
<p>
<q>regenrecht</q> a découvert un débordement de mémoire tampon dans
l'analyseur GIF, ce qui pourrait permettre l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3372";>CVE-2009-3372</a>
<p>
Marco C. a découvert une erreur de programmation dans le code
de configuration de serveur mandataire automatique qui pourrait
permettre un déni de service ou l'exécution de code arbitraire.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3274";>CVE-2009-3274</a>
<p>
Jeremy Brown a découvert que le nom de fichier d'un fichier
téléchargé qui est ouvert par l'utilisateur est prévisible, ce
qui pourrait permettre de piéger l'utilisateur dans un fichier
malveillant si l'attaquant a un accès local au système.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3370";>CVE-2009-3370</a>
<p>
Paul Stone a découvert que les renseignements
d'historique des formulaires web pourraient être volés.
</p></li>

</ul>


<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.9.0.15-0lenny1.</p>

<p>Conformément aux <a
href="$(HOME)/releases/etch/i386/release-notes/ch-information#s-mozilla-security">\
notes de publication d'Etch</a>, le suivi en sécurité des produits
Mozilla dans la distribution oldstable devait être arrêté avant
la fin du cycle de vie normal en terme de suivi en sécurité.

Nous vous recommandons fortement de mettre à niveau vers
stable ou de basculer vers un navigateur encore suivi.
</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.1.4-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xulrunner.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1922.data"
# $Id: dsa-1922.wml,v 1.2 2011-11-07 23:21:32 taffit Exp $

#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Absence de vérification des entrées</define-tag>
<define-tag moreinfo>
<p>
Matt Elder a découvert que Shibboleth, un mécanisme de propagation d'identités,
est vulnérable à l'injection de script à l'aide d'URL de redirection.

Plus de précisions sont disponibles dans l'<a
href="http://shibboleth.internet2.edu/secadv/secadv_20091104.txt";>\
annonce de Shibboleth</a>.
</p>

<p>Pour l'ancienne distribution stable (Etch), ce problème a été corrigé dans la version 1.3f.dfsg1-2+etch2 de shibboleth-sp.</p>

<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.3.1.dfsg1-3+lenny2 de shibboleth-sp,
la version 2.0.dfsg1-4+lenny2 de shibboleth-sp2 et la version 2.0-2+lenny2 d'opensaml2.
</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3+dfsg-1 de shibboleth-sp2,
la version 2.3-1 d'opensaml2 et la version 1.3.1-1 de xmltooling.
</p>

<p>Nous vous recommandons de mettre à jour vos paquets Shibboleth.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1947.data"
# $Id: dsa-1947.wml,v 1.1 2011-11-05 02:01:34 taffit Exp $