Bonjour, On 25/05/2012 16:26, JP Guillonneau wrote: > suggestions. Merci beaucoup JP, j'ai tout pris. Voici les quatre fichiers modifiés après relecture de JP (dsa-2478 et dsa-2479 sont inchangés). Merci d'avance pour vos relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Vérification d'entrées manquante</define-tag> <define-tag moreinfo> <p>On a découvert que mahara, un portefeuille électronique, blog et créateur de C.V., est prédisposé aux attaques de script intersite (XSS) à cause de l'absence de vérification des entrées du champ de texte de présentation dans les profils utilisateurs et de tous les champs de texte dans une vue utilisateur.</p> <p>La distribution oldstable (Etch) ne contient pas mahara.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.0.4-4+lenny2.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.1.3-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mahara.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1778.data" # $Id: dsa-1778.wml,v 1.1 2009/04/22 17:13:37 nion Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Deux vulnérabilités ont été découvertes dans APT, l'interface bien connue de dpkg. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1300";>CVE-2009-1300</a> <p>Dans les fuseaux horaires où le passage à l'heure d'été se fait à minuit, le script apt cron.daily échoue, empêchant les mises à jour de sécurité d'être appliquées automatiquement.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1358";>CVE-2009-1358</a> <p>Un dépôt signé avec une clé OpenPGP expirée ou révoquée pourrait être toujours considéré valide par APT.</p></li> </ul> <p>Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 0.6.46.4-0.1+etch1.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 0.7.20.2+lenny1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.7.21.</p> <p>Nous vous recommandons de mettre à jour votre paquet apt.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1779.data" # $Id: dsa-1779.wml,v 1.2 2010/12/17 14:39:37 taffit-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Absence de vérification des entrées</define-tag> <define-tag moreinfo> <p>Raphael Geissert a découvert que uscan, un programme pour vérifier la disponibilité de nouvelles versions de code source et qui fait partie du paquet devscripts, exécute du code Perl téléchargé depuis des sources éventuellement non sûres pour implémenter sa fonctionnalité de manipulation d'URL et de version. Cette mise à jour corrige le problème en réimplémentant les opérateurs Perl pertinents sans avoir recours à l'interpréteur Perl et en essayant de préserver autant que possible la rétrocompatibilité.</p> <p>Pour l'ancienne distribution stable (Etch), ce problème a été corrigé dans la version 2.9.26etch4.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.10.35lenny6.</p> <p>Pour la distribution unstable (Sid), ce problème sera corrigé dans la version 2.10.54.</p> <p>Nous vous recommandons de mettre à jour votre paquet devscripts.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1878.data" # $Id: dsa-1878.wml,v 1.1 2009/09/02 19:08:47 fw Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans la suite logicielle pour le protocole SILC, un protocole réseau conçu pour fournir une sécurité de bout en bout pour les services de conférence. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-7159";>CVE-2008-7159</a> <p>Une chaîne de formatage incorrecte dans sscanf() utilisée dans l'encodeur ASN1 pour scanner une valeur OID pourrait écraser une variable voisine dans la pile quand le type de données de destination est plus petit que le type source en 64 bits. Sur les architectures 64 bits, cela pourrait conduire à un comportement d'application inattendu ou même à l'exécution de code dans certains cas.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3051";>CVE-2009-3051</a> <p>Diverses vulnérabilités de chaîne de formatage lors du traitement des messages SILC permettent à un attaquant d'exécuter du code arbitraire avec les droits de la victime exécutant le client SILC via des pseudonymes ou noms de canaux contrefaits contenant des chaînes de formatage.</li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-7160";>CVE-2008-7160</a> <p>Une chaîne de formatage incorrecte dans un appel sscanf() utilisé dans le composant serveur HTTP de silcd pourrait entraîner l'écrasement d'une variable voisine dans la pile quand le type de données de destination est plus petit que le type source en 64 bits. Un attaquant pourrait exploiter cela en utilisant des valeurs d'en-têtes Content-Length contrefaits, ce qui pourrait conduire à un comportement inattendu ou même à l'exécution de code dans certains cas.</p></li> </ul> <p>silc-server ne nécessite pas de mise à jour puisqu'il utilise la bibliothèque partagée fournie par silc-toolkit. silc-client/silc-toolkit dans l'ancienne distribution stable (Etch) n'est pas affecté par ce problème.</p> <p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.1.7-2+lenny1 de silc-toolkit et dans la version 1.1.4-1+lenny1 de silc-client.</p> <p>Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.1.10-1 de silc-toolkit et la version 1.1-2 de silc-client (en utilisant libsilc de silc-toolkit depuis la dernière version).</p> <p>Nous vous recommandons de mettre à jour vos paquets silc-toolkit/silc-client.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1879.data" # $Id: dsa-1879.wml,v 1.2 2010/12/17 14:40:13 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature