Bonjour, On 21/07/2012 00:34, Stéphane Blondon wrote: > Juste un détail (identique dans les deux fichiers). Merci Stéphane, c'est intégré. > Il y a une incohérence dans la VO pour le CVE-2012-1967 : une fois, on > parle de liens « javascript:: » (dans ds-2513) et une fois « > javascript: » (dans ds-2513). Bien vu, j'ai oublié de propager dans dsa-2513 une modification proposée par JP dans l'annonce dsa-2514. D'après l'annonce CVE [1], c'est bien « javascript: ». [1]: http://security-tracker.debian.org/tracker/CVE-2012-1967 Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans la suite internet Iceape, une version sans marque de Seamonkey.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1948">CVE-2012-1948</a> <p>Benoit Jacob, Jesse Ruderman, Christian Holler et Bill McCloskey ont identifié plusieurs problèmes de sécurité mémoire qui pourraient conduire à l'exécution de code arbitraire.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1954">CVE-2012-1954</a> <p>Abhishek Arya a découvert un problème d'utilisation de mémoire après libération dans nsDocument::AdoptNode qui pourrait conduire à l'exécution de code arbitraire.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1967">CVE-2012-1967</a> <p><q>moz_bug_r_a4</q> a découvert que dans certain cas, les URL javascript: peuvent être exécutées de façon à ce que les scripts puissent s'échapper du bac à sable (<q>sandbox</q>) JavaScript et s'exécuter avec des privilèges élevés. Cela peut conduire à l'exécution de code arbitraire.</p></li> </ul> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-14.</p> <p>Pour les distributions unstable (Sid) et testing (Wheezy), ce problème sera corrigé prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceape.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2513.data" # $Id: dsa-2513.wml,v 1.2 2012-07-21 10:05:49 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Iceweasel, un navigateur web basé sur Firefox. La bibliothèque XULRunner incluse fournit des services de rendu pour plusieurs autres applications incluses dans Debian.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1948">CVE-2012-1948</a> <p>Benoit Jacob, Jesse Ruderman, Christian Holler et Bill McCloskey ont identifié plusieurs problèmes de sécurité mémoire qui pourraient conduire à l'exécution de code arbitraire.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1950">CVE-2012-1950</a> <p>Mario Gomes et Code Audit Labs ont découvert qu'il est possible de forcer Iceweasel à afficher l'URL du site visité précédemment grâce à des actions de glisser-déposer dans la barre d'adresse. Cela pourrait être détourné pour réaliser des attaques de type hameçonnage.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1954">CVE-2012-1954</a> <p>Abhishek Arya a découvert un problème d'utilisation de mémoire après libération dans nsDocument::AdoptNode qui pourrait conduire à l'exécution de code arbitraire.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1966">CVE-2012-1966</a> <p><q>moz_bug_r_a4</q> a découvert qu'il est possible de réaliser des attaques par script intersite grâce au menu contextuel quand les URL data: sont utilisées.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-1967">CVE-2012-1967</a> <p><q>moz_bug_r_a4</q> a découvert que dans certains cas, les URL javascript: peuvent être exécutées de façon à ce que les scripts puissent s'échapper du bac à sable (<q>sandbox</q>) JavaScript et s'exécuter avec des privilèges élevés. Cela peut conduire à l'exécution de code arbitraire.</p></li> </ul> <p>Note : nous recommandons aux utilisateurs de la version 3.5 d'Iceweasel fournie dans la branche stable de Debian d'envisager la mise à niveau vers la version 10.0 ESR (<q>Extended Support Release</q>) qui est maintenant disponible dans Debian Backports. Même si Debian continuera la prise en charge d'Iceweasel 3.5 dans la branche stable avec les mises à jour de sécurité, cela ne peut être fait qu'au mieux de nos moyens puisque l'amont n'assure plus de prise en charge. De plus, la branche 10.0 ajoute au navigateur des fonctionnalités de sécurité proactives.</p> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.5.16-17.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 10.0.6esr-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2514.data" # $Id: dsa-2514.wml,v 1.3 2012-07-21 10:05:49 tvincent-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature