[RFR2] wml://security/2013/dsa-269{5,6,7}.wml

[David Prévot <david@tilapin.org>]

Salut,

Le 01/06/2013 08:38, jean-pierre giraud a écrit :

> Quelques corrections / suggestions sur les dsa-2696 et dsa-2697.

Intégrées, merci, ainsi qu’une partie de celles sur dsa-2695. Merci
d’avance pour vos autres relectures.

Amicalement

David

#use wml::debian::translation-check translation="1.3" maintainer="David Prévot"
<define-tag description>Augmentation de droits</define-tag>
<define-tag moreinfo>
<p>
Une vulnérabilité a été découverte dans Open Ticket Request System (OTRS), un
système d'ouverture de tickets, qui peut être exploitée par des utilisateurs
malveillants pour éventuellement dévoiler des renseignements sensibles.
</p>

<p>
Un attaquant avec un identifiant dâ??agent valable pourrait manipuler
des URL dans le mécanisme de découpage de ticket pour voir le
contenu de tickets quâ??il nâ??est pas autorisé à  consulter.
</p>

<p>La distribution oldstable (Squeeze) n'est pas concernée par ce problème.</p>

<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 3.1.7+dfsg1-8+deb7u1.</p>

<p>Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 3.2.7-1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.2.7-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets otrs2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2696.data"
# $Id: dsa-2696.wml,v 1.5 2013-06-01 17:16:08 taffit Exp $

#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Plusieurs problèmes</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans le navigateur web Chromium.

Plusieurs problèmes dâ??utilisation de mémoire après
libération, lecture hors limites, sécurité de mémoire
et script intersite ont été découverts et corrigés.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2837";>CVE-2013-2837</a>
<p>
Une vulnérabilité dâ??utilisation de mémoire après libération dans
lâ??implémentation de SVG permet aux attaquants distants de provoquer un déni de
service ou éventuellement dâ??autres conséquences par des moyens indéterminés.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2838";>CVE-2013-2838</a>
<p>
Google V8, tel quâ??utilisé dans Chromium avant la
version 27.0.1453.93, permet aux attaquants distants de provoquer un
déni de service (lecture hors limites) par des moyens indéterminés.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2839";>CVE-2013-2839</a>
<p>
Chromium avant la version 27.0.1453.93 ne réalise pas
correctement une invocation de variable indéterminée
lors de traitement de données du presse-papier.

Cela permet aux attaquants distants de provoquer un déni de service
ou éventuellement dâ??autres conséquences par des moyens indéterminés.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2840";>CVE-2013-2840</a>
<p>
Une vulnérabilité dâ??utilisation de mémoire après libération dans le chargeur
de média de Chromium avant la version 27.0.1453.93 permet aux attaquants
distants de provoquer un déni de service ou éventuellement dâ??autres
conséquences par des moyens indéterminés, une vulnérabilité différente de <a
href="http://security-tracker.debian.org/tracker/CVE-2013-2846";>CVE-2013-2846</a>.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2841";>CVE-2013-2841</a>
<p>
Une vulnérabilité dâ??utilisation de mémoire après libération dans
Chromium avant la version 27.0.1453.93 permet aux attaquants distants de
provoquer un déni de service ou éventuellement dâ??autres conséquences par
des moyens indéterminés liés au traitement des ressources de Pepper.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2842";>CVE-2013-2842</a>
<p>
Une vulnérabilité dâ??utilisation de mémoire après libération dans 
Chromium avant la version 27.0.1453.93 permet aux attaquants distants de
provoquer un déni de service ou éventuellement dâ??autres conséquences par
des moyens indéterminés liés au traitement des widgets.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2843";>CVE-2013-2843</a>
<p>
Une vulnérabilité dâ??utilisation de mémoire après libération dans 
Chromium avant la version 27.0.1453.93 permet aux attaquants distants de
provoquer un déni de service ou éventuellement dâ??autres conséquences par
des moyens indéterminés liés au traitement des données vocales.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2844";>CVE-2013-2844</a>
<p>
Une vulnérabilité dâ??utilisation de mémoire après libération dans
lâ??implémentation de feuilles de style en cascade (CSS) de Chromium
avant la version 27.0.1453.93 permet aux attaquants distants de
provoquer un déni de service ou éventuellement dâ??autres conséquences
par des moyens indéterminés liés à la résolution de style.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2845";>CVE-2013-2845</a>
<p>
Lâ??implémentation Web Audio de Chromium avant la version 27.0.1453.93
permet aux attaquants distants de provoquer un déni de service (corruption de
mémoire) ou éventuellement dâ??autres conséquences par des moyens indéterminés.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2846";>CVE-2013-2846</a>
<p>
Une vulnérabilité dâ??utilisation de mémoire après libération dans le chargeur
de média de Chromium avant la version 27.0.1453.93 permet aux attaquants
distants de provoquer un déni de service ou éventuellement dâ??autres
conséquences par des moyens indéterminés, une vulnérabilité différente de <a
href="http://security-tracker.debian.org/tracker/CVE-2013-2840";>CVE-2013-2840</a>.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2847";>CVE-2013-2847</a>
<p>
Une situation de compétition dans lâ??implémentation de
<q>workers</q> de Chromium avant la version 27.0.1453.93 permet aux
attaquants distants de provoquer un déni de service (utilisation
de mémoire après libération et plantage d'application) ou
éventuellement dâ??autres conséquences par des moyens indéterminés.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2848";>CVE-2013-2848</a>
<p>
Le contrôleur de script intersite de Chromium avant la
version 27.0.1453.93 pourrait permettre aux attaquants distants
dâ??obtenir des renseignements sensibles par des moyens indéterminés.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2849";>CVE-2013-2849</a>
<p>
Plusieurs vulnérabilités de script intersite (XSS) dans Chromium avant
la version 27.0.1453.93 permettent aux attaquants distants dâ??injecter
un script web ou du HTML arbitraires par des moyens indéterminés
impliquant une opération de glissé et déposé ou de copié et collé.
</p></li>

</ul>

<p>
Pour la distribution oldstable (Squeeze), la fenêtre
de suivi en sécurité de Chromium est fermée.

Les utilisateurs de Chromium sous oldstable sont très vivement invités
à  mettre à  jour vers lâ??actuelle version stable de Debian (Wheezy).

Le suivi en sécurité de Chromium pour Wheezy continuera jusquâ??à  la
sortie de la prochaine version stable (Jessie), qui est prévue en 2015.
</p>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 27.0.1453.93-1~deb7u1.</p>

<p>Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 27.0.1453.93-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets chromium-browser.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2695.data"
# $Id: dsa-2695.wml,v 1.3 2013-06-01 17:16:08 taffit Exp $

#use wml::debian::translation-check translation="1.1" maintainer="David Prévot"
<define-tag description>Lecture hors limites de tableau</define-tag>
<define-tag moreinfo>
<p>
Un client malveillant pourrait planter un serveur GNUTLS et
vice versa, en envoyant des enregistrements TLS utilisant un
chiffrement par bloc contenant un remplissage incorrect.
</p>

<p>
La distribution oldstable (Squeeze) n'est pas concernée parce que le correctif
de sécurité qui a introduit cette vulnérabilité ne lui a pas été appliqué.
</p>

<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.12.20-7.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.12.23-5.</p>

<p>Nous vous recommandons de mettre à jour vos paquets gnutls26.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2697.data"
# $Id: dsa-2697.wml,v 1.2 2013-06-01 17:16:08 taffit Exp $

Attachment: signature.asc
Description: OpenPGP digital signature