Bonjour, Deux nouvelles annonces de sécurité ont été publiées, merci d'avance pour vos relectures. Amicalement, Thomas
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent" <define-tag description>Déni de service</define-tag> <define-tag moreinfo> <p>exactimage, une bibliothèque de traitement rapide des images, ne gère pas correctement les conditions d'erreur de la copie embarquée de dcraw. Cela pourrait conduire à un plantage ou à d'autres comportements dans une application utilisant la bibliothèque à cause d'une variable non initialisée envoyée à longjmp.</p> <p>Il ne s'agit pas du même problème que <a href="http://security-tracker.debian.org/tracker/CVE-2013-1438";>CVE-2013-1438</a>/DSA-2748-1.</p> <p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 0.8.1-3+deb6u3.</p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 0.8.5-5+deb7u3.</p> <p>Pour la distribution testing (Jessie) et la distribution unstable (Sid), ce problème a été corrigé dans la version 0.8.9-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets exactimage.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2754.data" # $Id: dsa-2754.wml,v 1.1 2013/09/11 08:39:41 tvincent-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent"
<define-tag description>Traversée de répertoires</define-tag>
<define-tag moreinfo>
<p>Rainer Koirikivi a découvert une vulnérabilité de traversée de répertoires
avec des étiquettes de template <q>ssi</q> dans python-django, un environnement
de développement web de haut niveau en Python.</p>
<p>Le traitement du réglage <q>ALLOWED_INCLUDE_ROOTS</q>, utilisé pour
représenter les préfixes autorisés pour l'étiquette de template {% ssi %}, est
vulnérable à une attaque de traversée de répertoires, en indiquant un chemin de
fichiers commençant comme le chemin absolu d'un répertoire de
<q>ALLOWED_INCLUDE_ROOTS</q>, et utilisant les chemins relatifs pour se libérer.</p>
<p>Pour exploiter cette vulnérabilité, un attaquant doit avoir la capacité
d'altérer les templates sur le site, ou bien le site attaqué doit avoir au
moins un template utilisant l'étiquette <q>ssi</q> et autoriser l'utilisation
d'entrées utilisateur non nettoyées en tant qu'argument de l'étiquette <q>ssi</q>.</p>
<p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.2.3-3+squeeze7.</p>
<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.4.5-1+deb7u3.</p>
<p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p>
<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2755.data"
# $Id: dsa-2755.wml,v 1.1 2013/09/11 14:50:37 tvincent-guest Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature