On 08/07/2012 21:32, JP Guillonneau wrote: > suggestions. Merci JP, c'est intégré. Je ne renvoie que dsa-1789, dsa-1788 n'ayant pas changé. Merci d'avance pour vos relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.3" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités distantes ont été découvertes dans le préprocesseur hypertexte PHP 5. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <p>Les quatre vulnérabilités suivantes ont déjà été corrigées dans la version stable (Lenny) de php5 avant la diffusion de Lenny. Cette mise à jour les corrige pour Etch (oldstable) :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-2107";>CVE-2008-2107</a> / <a href="http://security-tracker.debian.org/tracker/CVE-2008-2108";>CVE-2008-2108</a> <p>La macro GENERATE_SEED a plusieurs problèmes qui simplifient la prédiction des nombres aléatoires créés, facilitant les attaques contre les mesures utilisant rand() ou mt_rand() dans leur protection.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-5557";>CVE-2008-5557</a> <p>Un dépassement de tampon dans l'extension mbstring permet à des attaquants d'exécuter du code arbitraire à l'aide d'une chaîne contrefaite contenant une entité HTML.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-5624";>CVE-2008-5624</a> <p>Les variables page_uid et page_gid ne sont pas correctement définies, ce qui permet d'utiliser quelques fonctionnalités prévues pour être réservées au superutilisateur.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-5658";>CVE-2008-5658</a> <p>Une vulnérabilité de traversée de répertoire dans la fonction ZipArchive::extractTo permet à des attaquants d'écrire des fichiers arbitraires à l'aide d'un fichier ZIP dont un fichier a un nom contenant des séquences de .. (point point).</p></li> </ul> <p>Cette mise à jour corrige également les trois vulnérabilités suivantes pour oldstable (Etch) et stable (Lenny) :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2008-5814";>CVE-2008-5814</a> <p>Une vulnérabilité de script intersite (XSS), lorsque display_errors est activé, permet aux attaquants distants d'injecter un script web ou du HTML arbitraires.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-0754";>CVE-2009-0754</a> <p>Lorsqu'il est exécuté sur Apache, PHP permet aux utilisateurs locaux de modifier le comportement des autres sites hébergés sur le même serveur web en modifiant le réglage mbstring.func_overload dans le .htaccess, ce qui entraîne l'application de ce réglage sur les autres hôtes virtuels du même serveur. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2009-1271";>CVE-2009-1271</a> <p>La fonction JSON_parser permet un déni de service (erreur de segmentation) à l'aide d'une chaîne malformée passée à la fonction d'API json_decode.</p></li> </ul> <p>De plus, deux mises à jour initialement prévues pour la prochaine mise à jour mineure (point update) d'oldstable sont incluses dans le paquet etch :</p> <ul> <li><p>Laisser PHP utiliser la base de données de zones horaires du système à la place de la base de données embarquée qui est dépassée.</p></li> <li><p>Le module inutilisé dbase, qui posait des problèmes de licence, a été retiré de l'archive source.</p></li> </ul> <p>Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 5.2.0+dfsg-8+etch15.</p> <p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 5.2.6.dfsg.1-1+lenny3.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.2.9.dfsg.1-1.</p> <p>Nous vous recommandons de mettre à jour votre paquet php5.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2009/dsa-1789.data" # $Id: dsa-1789.wml,v 1.3 2010-12-17 14:39:41 taffit-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature