Salut, Le 25/05/2013 09:56, jean-pierre giraud a écrit : > Quelques suggestions pour chacune des annonces, Merci à vous deux, j’ai tout appliqué. Merci d’avance pour vos autres relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Conflit d'interprétation</define-tag> <define-tag moreinfo> <p> Adam Nowacki a découvert que la nouvelle implémentation NFS de FreeBSD traite une requête READDIR contrefaite qui donne l'instruction de faire fonctionner un système de fichiers sur un nÅ?ud de fichier comme sâ??il sâ??agissait dâ??un nÅ?ud de répertoire, avec pour conséquence un plantage de noyau ou éventuellement l'exécution de code arbitraire. </p> <p> Le noyau kfreebsd-8 dans la distribution oldstable nâ??active pas la nouvelle implémentation NFS. Le noyau Linux nâ??est pas concerné par cette vulnérabilité. </p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 9.0-10+deb70.1.</p> <p>Pour la distribution testing (Jessie) et la distribution unstable (Sid), ce problème a été corrigé dans la version 9.0-11.</p> <p>Nous vous recommandons de mettre à jour vos paquets kfreebsd-9.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2672.data" # $Id: dsa-2672.wml,v 1.2 2013-05-25 19:09:03 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système paramétrable de suivi de problèmes. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4733";>CVE-2012-4733</a> <p> Un utilisateur avec le droit de modifier un ticket (ModifyTicket) peut contourner le droit de supprimer un ticket (DeleteTicket) et nâ??importe quel droit personnalisé de transition du cycle de vie et ainsi modifier des données de ticket sans autorisation. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3368";>CVE-2013-3368</a> <p> Lâ??outil rt en ligne de commande utilise des fichiers temporaires partiellement prévisibles. Un utilisateur malveillant peut utiliser ce défaut pour écraser des fichiers avec les droits de lâ??utilisateur exécutant lâ??outil rt en ligne de commande. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3369";>CVE-2013-3369</a> <p> Un utilisateur malveillant autorisé à voir les pages dâ??administration peut exécuter des composants Mason arbitraires (sans contrôle des arguments), ce qui pourrait produire des effets secondaires négatifs. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3370";>CVE-2013-3370</a> <p> Request Tracker permet des requêtes directes aux composants de rappel privé, ce qui pourrait être utilisé pour exploiter une extension de Request Tracker ou un rappel local qui utilise les arguments qui lui sont passés de façon non sécurisée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3371";>CVE-2013-3371</a> <p> Request Tracker est vulnérable aux attaques par script intersite à l'aide de noms de fichiers attachés. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3372";>CVE-2013-3372</a> <p> Dominic Hargreaves a découvert que Request Tracker est vulnérable à une injection dâ??en-tête HTTP limitée à la valeur de lâ??en-tête Content-Disposition. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3373";>CVE-2013-3373</a> <p> Request Tracker est vulnérable à une injection dâ??en-tête MIME dans les courriers sortants créés par Request Tracker. </p> <p> Les modèles initiaux de Request Tracker sont corrigés par cette mise à jour. En revanche, tous les modèles de message personnalisé devraient être mis à jour pour s'assurer que les valeurs insérées dans les en-têtes de messages ne contiennent pas de changements de lignes. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3374";>CVE-2013-3374</a> <p> Request Tracker est vulnérable à la réutilisation de session limitée lors de l'utilisation du stockage de session à base de fichier, Apache::Session::File. Cependant, la configuration de session par défaut de Request Tracker nâ??utilise Apache::Session::File quâ??avec les bases de données Oracle. </p></li> </ul> <p> Cette version de Request Tracker contient une mise à niveau de contenu de base de données. Si la base de données est gérée par dbconfig, la possibilité d'appliquer automatiquement cette mise à niveau sera proposée. Sinon, consultez les explications du fichier /usr/share/doc/request-tracker4/NEWS.Debian.gz pour connaître les étapes à réaliser vous-même. </p> <p> Veuillez remarquer que, si vous exécutez request-tracker4 sous le serveur web Apache, vous devez arrêter et redémarrer Apache vous-même. Le mécanisme de redémarrage (<q>restart</q>) nâ??est pas recommandé, en particulier si vous utilisez mod_perl ou nâ??importe quelle forme de processus Perl persistant comme FastCGI ou SpeedyCGI. </p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 4.0.7-5+deb7u2.</p> <p>Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.12-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets request-tracker4.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2671.data" # $Id: dsa-2671.wml,v 1.3 2013-05-25 19:09:03 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système paramétrable de suivi de problèmes. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3368";>CVE-2013-3368</a> <p> Lâ??outil rt en ligne de commande utilise des fichiers temporaires partiellement prévisibles. Un utilisateur malveillant peut utiliser ce défaut pour écraser des fichiers avec les droits de lâ??utilisateur exécutant lâ??outil rt en ligne de commande. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3369";>CVE-2013-3369</a> <p> Un utilisateur malveillant autorisé à voir les pages dâ??administration peut exécuter des composants Mason arbitraires (sans contrôle des arguments), ce qui pourrait produire des effets secondaires négatifs. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3370";>CVE-2013-3370</a> <p> Request Tracker permet des requêtes directes aux composants de rappel privé, ce qui pourrait être utilisé pour exploiter une extension de Request Tracker ou un rappel local qui utilise les arguments qui lui sont passés de façon non sécurisée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3371";>CVE-2013-3371</a> <p> Request Tracker est vulnérable aux attaques par script intersite à l'aide de noms de fichiers attachés. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3372";>CVE-2013-3372</a> <p> Dominic Hargreaves a découvert que Request Tracker est vulnérable à une injection dâ??en-tête HTTP limitée à la valeur de lâ??en-tête Content-Disposition. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3373";>CVE-2013-3373</a> <p> Request Tracker est vulnérable à une injection dâ??en-tête MIME dans les courriers sortants créés par Request Tracker. </p> <p> Les modèles initiaux de Request Tracker sont corrigés par cette mise à jour. En revanche, tous les modèles de message personnalisé devraient être mis à jour pour s'assurer que les valeurs insérées dans les en-têtes de messages ne contiennent pas de changements de lignes. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3374";>CVE-2013-3374</a> <p> Request Tracker est vulnérable à la réutilisation de session limitée lors de l'utilisation du stockage de session à base de fichier, Apache::Session::File. Cependant, la configuration de session par défaut de Request Tracker nâ??utilise Apache::Session::File quâ??avec les bases de données Oracle. </p></li> </ul> <p> Cette version de Request Tracker contient une mise à niveau de contenu de base de données. Si la base de données est gérée par dbconfig, la possibilité d'appliquer automatiquement cette mise à niveau sera proposée. Sinon, consultez les explications du fichier /usr/share/doc/request-tracker3.8/NEWS.Debian.gz pour connaître les étapes à réaliser vous-même. </p> <p> Veuillez remarquer que, si vous exécutez request-tracker3.8 sous le serveur web Apache, vous devez arrêter et redémarrer Apache vous-même. Le mécanisme de redémarrage (<q>restart</q>) nâ??est pas recommandé, en particulier si vous utilisez mod_perl ou nâ??importe quelle forme de processus Perl persistant comme FastCGI ou SpeedyCGI. </p> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.8.8-7+squeeze7.</p> <p> Les distributions stable, testing et unstable ne contiennent plus request-tracker3.8, qui a été remplacé par request-tracker4. </p> <p>Nous vous recommandons de mettre à jour vos paquets request-tracker3.8.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2670.data" # $Id: dsa-2670.wml,v 1.3 2013-05-25 19:09:02 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature