Salut, Une annonce de sécurité a été publiée, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été identifiées dans WordPress, un gestionnaire de blog. Puisque les CVE ont été alloués à partir des annonces de publication, et que les corrections spécifiques ne sont normalement pas identifiées, le paquet wordpress a été mis à jour vers sa dernière version amont au lieu de rétroporter les correctifs. </p> <p> Cela signifie qu'une attention toute particulière doit être portée lors de la mise à niveau, en particulier lors de l'utilisation de greffons tiers ou de thèmes, puisque la compatibilité pourrait avoir été altérée depuis. Nous recommandons aux utilisateurs de vérifier leur installation avant de procéder à la mise à niveau. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2173";>CVE-2013-2173</a> <p> Un déni de service a été découvert dans la façon dont WordPress réalise le calcul de hachage lors de la vérification de mot de passe pour les articles protégés. Un attaquant fournissant un entrée soigneusement contrefaite en tant que mot de passe pourrait forcer une utilisation excessive du processeur sur la plate-forme. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2199";>CVE-2013-2199</a> <p> Plusieurs vulnérabilités de contrefaçon de requête côté serveur (SSRF) ont été découvertes dans lâ??interface de programmation HTTP. Câ??est relatif à <a href="http://security-tracker.debian.org/tracker/CVE-2013-0235";>CVE-2013-0235</a>, qui était spécifique aux requêtes de ping et a été corrigé dans la version 3.5.1. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2200";>CVE-2013-2200</a> <p> Une vérification inappropriée des capacités dâ??un utilisateur pourrait lui permettre dâ??augmentation ses droits, activant la possibilité de publier des articles alors que son rôle dâ??utilisateur ne devrait pas lâ??autoriser et dâ??assigner des articles à dâ??autres auteurs. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2201";>CVE-2013-2201</a> <p> Plusieurs vulnérabilités de script intersite (XSS) à cause dâ??entrées mal protégées ont été découvertes dans les formulaires dâ??envoi de fichiers multimédia et de greffons. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2202";>CVE-2013-2202</a> <p> Une vulnérabilité lâ??injection dâ??entités externes XML par lâ??intermédiaire de réponses oEmbed. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2203";>CVE-2013-2203</a> <p> Un dévoilement de chemin complet (FPD) a été découvert dans le mécanisme dâ??envoi de fichier. Si le répertoire dâ??envoi nâ??est pas accessible en écriture, le message dâ??erreur renvoyé contient le chemin complet du répertoire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2204";>CVE-2013-2204</a> <p> Usurpation de contenu par lâ??intermédiaire dâ??applettes dans le greffon multimédia tinyMCE embarqué. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2205";>CVE-2013-2205</a> <p> Script intersite (XSS) interdomaine dans lâ??envoi SWFupload embarqué. </p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.5.2+dfsg-1~deb6u1.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.5.2+dfsg-1~deb7u1.</p> <p>Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 3.5.2+dfsg-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.5.2+dfsg-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2718.data" # $Id: dsa-2718.wml,v 1.1 2013/07/02 23:01:37 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature