[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2012/dsa-250{3,4,5}.wml

Rebonjour,

On 02/07/2012 22:44, Thomas Vincent wrote:
> Trois nouvelles annonces de sécurité ont été publiées.
> Merci d'avance pour vos relectures.

David m'a fait part sur IRC de quelques suggestions que j'ai intégrées.
Je vous envoie donc les nouvelles versions de dsa-2503 et dsa-2504.
Merci d'avance pour vos relectures.

Amicalement,
Thomas


#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent"
<define-tag description>Injection de commande d'interpréteur</define-tag>
<define-tag moreinfo>
<p>Des clients malveillants peuvent piéger le composant
serveur du système de gestion de configuration Bcfg2 pour exécuter des
commandes avec les droits du superutilisateur.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.0.1-3+squeeze2.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.2.2-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bcfg2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2503.data"
# $Id: dsa-2503.wml,v 1.1 2012/06/28 18:12:07 kaare Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent"
<define-tag description>Divulgation d'informations</define-tag>
<define-tag moreinfo>
<p>Le cadriciel Spring contient une vulnérabilité de divulgation d'informations 
dans le traitement de certains patrons d'« Expression
Language » (EL), permettant aux attaquants d'accéder à des informations sensibles
grâce à des requêtes HTTP.</p>

<p>Remarque : Cette mise à jour ajoute un paramètre de contexte springJspExpressionSupport
qui peut être manuellement défini à false quand le cadriciel Spring tourne dans un
conteneur fournissant lui-même une prise en charge d'EL.</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.5.6.SEC02-2+squeeze1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libspring-2.5-java.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2504.data"
# $Id: dsa-2504.wml,v 1.1 2012/06/28 21:52:37 kaare Exp $

Attachment: signature.asc
Description: OpenPGP digital signature

Reply to: