[ Désolé Stéphane pour le doublon ] Salut, Le 12/05/2012 15:51, Stéphane Blondon a écrit : > Le 10 mai 2012 00:40, David Prévot <david@tilapin.org> a écrit : >> Quatre mises à jour de sécurité ont été mises en ligne, et j'en ai >> traduit quelques autres plus anciennes, par avance merci pour vos >> relectures. > > Un poil mieux ? Oui merci, amélioration intégrée à dsa-1758.wml, les autres fichiers n'ont pas été modifiés, il sont tout de même joints pour faciliter les dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Script intersite</define-tag> <define-tag moreinfo> <p> Sergey Nartimov a découvert que dans Rails, un environnement de développement web basé sur Ruby, lorsque les développeurs génèrent eux-mêmes les étiquettes d'options html, l'entrée utilisateur concaténée avec les étiquettes qu'ils ont construites eux-mêmes pourrait ne pas être protégée et un attaquant peut injecter du HTML arbitraire dans le document. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.5-1.2+squeeze3.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.14.</p> <p>Nous vous recommandons de mettre à jour vos paquets rails.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2466.data" # $Id: dsa-2466.wml,v 1.2 2012-05-11 21:58:20 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Allocation illimitée de mémoire</define-tag> <define-tag moreinfo> <p> Apache POI, une implémentation en Java des formats de fichier Microsoft Office, allouerait des quantités arbitraires de mémoire lors du traitement de documents contrefaits. Cela pourrait avoir un impact sur la stabilité de la machine virtuelle Java. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.6+dfsg-1+squeeze1.</p> <p>Nous vous recommandons de mettre à jour vos paquets libjakarta-poi-java.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2468.data" # $Id: dsa-2468.wml,v 1.1 2012-05-09 21:33:23 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Défauts non sécurisés</define-tag> <define-tag moreinfo> <p> Mahara, un portefeuille électronique complet, blog et constructeur de curriculum vitæ, possède un défaut non sécurisé par rapport à l'authentification basée sur SAML utilisée avec plus d'un fournisseur d'identité (IdP) SAML. Quelqu'un contrôlant une IdP pourrait usurper l'identité des utilisateurs d'autres IdP. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.6-2+squeeze4.</p> <p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.2-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mahara.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2467.data" # $Id: dsa-2467.wml,v 1.1 2012-05-09 21:21:16 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> De Eindbazen a découvert que PHP, s'il est exécuté avec mod_cgi, interprétera une chaîne de requête comme des paramètres de ligne de commande, permettant d'exécuter du code arbitraire. </p> <p> De plus, cette mise à jour corrige une validation insuffisante de nom d'envoi qui permet de corrompre les indices $_FILES. </p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 5.3.3-7+squeeze9.</p> <p>La distribution testing (Wheezy) sera corrigée prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.4.3-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets php5.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2465.data" # $Id: dsa-2465.wml,v 1.1 2012-05-09 19:09:31 taffit Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Création non sécurisée du fichier de configuration</define-tag> <define-tag moreinfo> <p> Leigh James a découvert que nss-ldapd, un module NSS pour l'utilisation de LDAP comme service de nommage, crée par défaut le fichier de configuration /etc/nss-ldapd.conf lisible par tous, ce qui pourrait divulguer le mot de passe LDAP configuré s'il est utilisé pour se connecter au serveur LDAP. </p> <p>L'ancienne distribution stable (Etch) ne contient pas nss-ldapd.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.6.7.1.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.6.8.</p> <p>Nous vous recommandons de mettre à jour votre paquet nss-ldapd.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1758.data" # $Id: dsa-1758.wml,v 1.2 2009-04-01 05:46:13 kaare Exp $
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Deux problèmes de sécurité ont été découverts dans kdegraphics, les applications pour le graphisme de la version officielle de KDE. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0945";>CVE-2009-0945</a> <p> L'implémentation d'élément d'animation KSVG souffre d'un défaut de déréférencement de pointeur NULL. Cela pourrait permettre l'exécution de code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1709";>CVE-2009-1709</a> <p> L'implémentation d'élément d'animation KSVG est prédisposée à un défaut d'utilisation de mémoire après libération. Cela pourrait permettre l'exécution de code arbitraire. </p></li> </ul> <p>Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 4:3.5.5-3etch4.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 4:3.5.9-3+lenny2.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:4.0.</p> <p>Nous vous recommandons de mettre à jour vos paquets kdegraphics.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1866.data" # $Id: dsa-1866.wml,v 1.2 2010-12-17 14:40:05 taffit-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Horde 3, l'environnement d'application web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0932";>CVE-2009-0932</a> <p> Gunnar Wrobel a découvert une vulnérabilité de traversée de répertoires. Cela permet aux attaquants d'inclure et exécuter des fichiers locaux arbitraires à l'aide du paramètre driver dans Horde_Image. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-3330";>CVE-2008-3330</a> <p> Un attaquant pourrait réaliser une attaque par script intersite à l'aide du nom de contact. Cela permet aux attaquants d'injecter du code HTML arbitraire. Cela nécessite que l'attaquant ait accès pour créer des contacts. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-5917";>CVE-2008-5917</a> <p> Le filtre XSS de Horde est prédisposé à une attaque par script intersite. Cela permet aux attaquants d'injecter du code HTML arbitraire. Ce n'est exploitable qu'en utilisant Internet Explorer. </p></li> </ul> <p>Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 3.1.3-4etch5.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 3.2.2+debian0-2, qui a déjà été incluse dans la publication de Lenny.</p> <p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.2.2+debian0-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets horde3.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1765.data" # $Id: dsa-1765.wml,v 1.3 2010-12-17 14:39:33 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature