Bonjour, On 22/09/2013 09:52, jean-pierre giraud wrote: > 1 correction et une suggestion pour 2 annonces. Merci Jean-Pierre, c'est intégré. J'en profite aussi pour passer en LCFC, merci d'avance pour vos dernières relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Wordpress, un outil de blog. Comme les CVE ont été alloués à partir de plusieurs annonces de publication et que les corrections spécifiques ne sont généralement pas identifiées, il a été décidé de mettre le paquet wordpress à niveau vers la dernière version amont au lieu de rétroporter les correctifs.</p> <p>Cela signifie qu'une attention particulière est requise lors de la mise à niveau, en particulier quand des greffons ou thèmes tiers sont utilisés, puisque la compatibilité peut avoir été affectée. Nous recommandons aux utilisateurs de vérifier leur installation avant de procéder à la mise à niveau.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4338">CVE-2013-4338</a> <p>Une désérialisation PHP non sûre dans wp-includes/fonctions.php pourrait causer l'exécution de code arbitraire.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4339">CVE-2013-4339</a> <p>Une validation d'entrée insuffisante pourrait rediriger ou mener un utilisateur vers un autre site web.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4340">CVE-2013-4340</a> <p>Une augmentation de droits permet à un utilisateur ayant le rôle d'auteur de créer une entrée apparaissant comme écrite par un autre utilisateur.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-5738">CVE-2013-5738</a> <p>Des capacités insuffisantes étaient requises pour téléverser des fichiers .html/.html, ce qui simplifie les attaques par script intersite (XSS) pour les utilisateurs authentifiés utilisant des fichiers html contrefaits.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-5739">CVE-2013-5739</a> <p>La configuration par défaut de Wordpress permettait le téléversement de fichiers .swf/.exe, ce qui simplifie les attaques par script intersite (XSS) pour les utilisateurs authentifiés.</p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb6u1.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u1.</p> <p>Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2757.data" # $Id: dsa-2757.wml,v 1.2 2013/09/26 10:26:40 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.2" maintainer="Thomas Vincent" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans puppet, un système de gestion de configuration centralisé. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4761">CVE-2013-4761</a> <p>Le service <q>resource_type</q> (désactivé par défaut) pourrait être utilisé pour faire charger par puppet du code arbitraire en Ruby depuis le système de fichiers du maître (<q>puppet master</q>).</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4956">CVE-2013-4956</a> <p>Des modules installés avec l'outil de module de puppet pourraient être installés avec des permissions faibles, ce qui pourrait permettre à des utilisateurs locaux de les lire ou les modifier.</p></li> </ul> <p>La distribution stable (Wheezy) a été mise à jour vers la version 2.7.33 de puppet. Cette version inclut les correctifs pour toutes les annonces de sécurité précédentes concernant puppet dans Wheezy. Dans cette version, le format de rapport de puppet est maintenant correctement signalé comme étant en version 3.</p> <p>Il faut s'attendre à ce que de futures annonces de sécurité pour puppet conduiront à une nouvelle publication de maintenance de la branche 2.7.</p> <p>La distribution oldstable (Squeeze) n'a pas été mise à jour pour cette annonce puisqu'aucun correctif n'est actuellement disponible pour <a href="http://security-tracker.debian.org/tracker/CVE-2013-4761">CVE-2013-4761</a> et que le paquet n'est pas affecté par <a href="http://security-tracker.debian.org/tracker/CVE-2013-4956">CVE-2013-4956</a>.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.7.23-1~deb7u1.</p> <p>Pour la distribution testing (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.2.4-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets puppet.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2761.data" # $Id: dsa-2761.wml,v 1.3 2013/09/26 10:26:40 tvincent-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature