[RFR2] wml://security/2009/dsa-18{67,68,71,73}.wml

[Thomas Vincent <thomas@vinc-net.fr>]

Bonjour,

On 02/09/2012 19:53, Stéphane Blondon wrote:
> Corrections et proposition dans le fichier joint.

Mince, j'avais envoyé mon message à 11h du matin, je n'ai même pas
l'excuse de la fatigue. :)
Merci Stéphane, j'ai évidemment tout pris.

Amicalement,
Thomas

#use wml::debian::translation-check translation="1.4" maintainer="Thomas Vincent"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>

<p>Plusieurs vulnérabilités ont été découvertes dans wordpress, un gestionnaire de blog. 

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-6762";>CVE-2008-6762</a>

<p>wordpress est prédisposé à une vulnérabilité de redirection d'ouverture 
permettant aux attaquants distants de mener des attaques d'hameçonnage.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-6767";>CVE-2008-6767</a>

<p>Des attaquants distants avaient la capacité de déclencher une mise à niveau
de l'application, ce qui pourrait conduire à une attaque par déni de service.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2334";>CVE-2009-2334</a>

<p>wordpress manque de vérifications d'authentification dans la configuration de greffons,
ce qui pourrait exposer des informations sensibles.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2854";>CVE-2009-2854</a>

<p>wordpress manque de vérifications d'authentification dans diverses actions,
permettant ainsi à des attaquants distants de réaliser des éditions ou des ajouts non autorisés.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2851";>CVE-2009-2851</a>

<p>L'interface administrateur est prédisposée à une attaque par script intersite.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-2853";>CVE-2009-2853</a>

<p>Des attaquants distants peuvent obtenir des privilèges grâce à certaines requêtes directes.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-1502";>CVE-2008-1502</a>

<p>La fonction _bad_protocol_once dans KSES, telle qu'utilisée par wordpress, permet aux attaquants 
distants de réaliser des attaques par script intersite.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-4106";>CVE-2008-4106</a>

<p>Certaines vérifications manquent à wordpress autour des informations utilisateur, 
ce qui pourrait être utilisé par des attaquants pour modifier le mot de passe d'un utilisateur.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-4769";>CVE-2008-4769</a>

<p>La fonction get_category_template est prédisposée à une vulnérabilité de traversée de répertoires.
Cela pourrait permettre l'exécution de code arbitraire.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-4796";>CVE-2008-4796</a>

<p>La fonction _httpsrequest dans la version embarquée de snoopy est prédisposée à l'exécution 
de commandes arbitraires grâce aux métacaractères shell dans les URL https.</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2008-5113";>CVE-2008-5113</a>

<p>wordpress se fie au tableau superglobal REQUEST dans certaines situations dangereuses,
ce qui facilite la réalisation d'attaques par cookies contrefaits.</p>

</ul>


<p>Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 2.0.10-1etch4.</p>

<p>Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.5.1-11+lenny1.</p>

<p>Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.8.3-1.</p>


<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1871.data"
# $Id: dsa-1871.wml,v 1.4 2010-12-22 11:51:22 kaare-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent"
<define-tag description>Erreur de programmation</define-tag>
<define-tag moreinfo>
<p>Juan Pablo Lopez Yacubian a découvert qu'un traitement incorrect d'URL invalides
pourrait être utilisé pour usurper la barre de localisation et le statut du certificat SSL
d'une page web.</p>

<p>Xulrunner n'est plus pris en charge par la précédente distribution stable (Etch).</p>

<p>Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.9.0.13-0lenny1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.9.0.13-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets xulrunner.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1873.data"
# $Id: dsa-1873.wml,v 1.1 2009-08-26 23:18:45 spaillard Exp $

Attachment: signature.asc
Description: OpenPGP digital signature