Bonjour, Quelques nouvelles annonces de sécurité ont été publiées. Merci d'avance pour vos relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans les dissecteurs pour LDAP, RTPS et NBAP et dans l'analyseur de fichier Netmon, ce qui pourrait conduire à un déni de service ou à l'exécution de code arbitraire.</p> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.2.11-6+squeeze12.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.8.2-5wheezy6.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.10.2-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets wireshark.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2756.data" # $Id: dsa-2756.wml,v 1.1 2013/09/13 21:59:26 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Wordpress, un outil de blog. Comme les CVE ont été alloués à partir de plusieurs annonces de publication et que les corrections spécifiques ne sont généralement pas identifiées, il a été décidé de mettre le paquet wordpress à niveau vers la dernière version amont au lieu de rétroporter les correctifs.</p> <p>Cela signifie qu'une attention particulière est requise lors de la mise à niveau, en particulier quand des greffons ou thèmes tiers sont utilisés, puisque la compatibilité peut avoir été affectée. Nous recommandons aux utilisateurs de vérifier leur installation avant de procéder à la mise à niveau.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4338";>CVE-2013-4338</a> <p>Une désérialisation PHP non sure dans wp-includes/fonctions.php pourrait causer l'exécution de code arbitraire.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4339";>CVE-2013-4339</a> <p>Une validation d'entrée insuffisante pourrait rediriger ou mener un utilisateur vers un autre site web.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4340";>CVE-2013-4340</a> <p>Une augmentation de droits permet à un utilisateur ayant le rôle d'auteur de créer une entrée apparaissant comme écrite par un autre utilisateur.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-5738";>CVE-2013-5738</a> <p>Des capacités insuffisantes étaient requises pour téléverser des fichiers .html/.html, ce qui simplifie les attaques par script intersite (XSS) pour les utilisateurs authentifiés utilisant des fichiers html contrefaits.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-5739";>CVE-2013-5739</a> <p>La configuration par défaut de Wordpress permettait le téléversement de fichiers .swf/.exe, ce qui simplifie les attaques par script intersite (XSS) pour les utilisateurs authentifiés.</p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb6u1.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u1.</p> <p>Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2757.data" # $Id: dsa-2757.wml,v 1.1 2013/09/14 15:44:10 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p>python-django, un environnement de développement web de haut niveau en Python, est prédisposé à une vulnérabilité de déni de service par des mots de passe de grande taille.</p> <p>Un attaquant distant non authentifié pourrait causer un déni de service en soumettant des mots de passe arbitrairement grands, dont la vérification par de coûteux calculs de hashs monopoliserait les ressources du serveur.</p> <p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.2.3-3+squeeze8.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.4.5-1+deb7u4.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.5.4-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-django.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2758.data" # $Id: dsa-2758.wml,v 1.1 2013/09/17 20:40:49 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs problèmes de sécurité ont été découverts dans Iceweasel, la version de Debian du navigateur web Mozilla Firefox: plusieurs erreurs de sécurité de la mémoire et dépassements de tampons pourraient conduire à l'exécution de code arbitraire.</p> <p>La version d'iceweasel de la distribution oldstable (Squeeze) n'est plus prise en charge par des mises à jour de sécurité.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 17.0.9esr-1~deb7u1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 24.0-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2759.data" # $Id: dsa-2759.wml,v 1.1 2013/09/18 13:57:09 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Florian Weimer a découvert deux problèmes de sécurité dans Chrony, un logiciel de synchronisation du temps (dépassement de tampons et utilisation de données non initialisées dans les réponses de commandes).</p> <p>Pour la distribution oldstable (Squeeze), ces problèmes seront corrigés prochainement dans 1.24-3+squeeze1 (à cause d'une restriction technique dans les scriptis de traitement de l'archive, les deux mises à jours ne peuvent être publiées en même temps).</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.24-3.1+deb7u2.</p> <p>Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p> <p>Nous vous recommandons de mettre à jour vos paquets chrony.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2760.data" # $Id: dsa-2760.wml,v 1.1 2013/09/18 18:26:09 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans puppet, un système de gestion de configuration centralisé. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4761";>CVE-2013-4761</a> <p>Le service <q>resource_type</q> (désactivé par défaut) pourrait être utilisé pour faire charger par puppet du code arbitraire en Ruby depuis le système de fichiers du maître (<q>puppet master</q>).</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4956";>CVE-2013-4956</a> <p>Des modules installés avec l'outil de module de puppet pourraient être installés avec des permissions faibles, ce qui pourrait permettre à des utilisateurs locaux de les lire ou modifier.</p></li> </ul> <p>La distribution stable (Wheezy) a été mise à jour vers la version 2.7.33 de puppet. Cette version inclut les correctifs pour toutes les annonces de sécurité précédentes concernant puppet dans Wheezy. Dans cette version, le format de rapport de puppet est maintenant correctement signalé comme étant en version 3.</p> <p>Il est à attendre que de futures annonces de sécurité pour puppet conduiront à une nouvelle publication de maintenance de la branche 2.7.</p> <p>La distribution oldstable (Squeeze) n'a pas été mise à jour pour cette annonce puisqu'aucun correctif n'est actuellement disponible pour <a href="http://security-tracker.debian.org/tracker/CVE-2013-4761";>CVE-2013-4761</a> et que le paquet n'est pas affecté par <a href="http://security-tracker.debian.org/tracker/CVE-2013-4956";>CVE-2013-4956</a>.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.7.23-1~deb7u1.</p> <p>Pour la distribution testing (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.2.4-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets puppet.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2761.data" # $Id: dsa-2761.wml,v 1.1 2013/09/20 08:28:23 tvincent-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature