Bonjour, Dixit JP Guillonneau, le 02/04/2014 : >une autre relecture, suggestions, Merci Jean-Paul, j'ai tout pris sauf la séquence, que j'ai laissée valide. Autre relecture ? Baptiste
#use wml::debian::translation-check translation="1.5" maintainer="Baptiste Jammet" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans MediaWiki, un moteur de wiki. Le projet <q>Common Vulnerabilities and Exposures</q> (CVE) identifie les problèmes suivants :</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2031";>CVE-2013-2031</a> <p>Attaque de script intersite à lâ??aide dâ??une séquence valide de caractères UTF-7 dans un fichier SVG.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4567";>CVE-2013-4567</a> & <a href="http://security-tracker.debian.org/tracker/CVE-2013-4568";>CVE-2013-4568</a> <p>Kevin Israel (utilisateur PleaseStand dans Wikipédia) a signalé deux façons d'injecter du code Javascript à cause d'une liste noire incomplète dans la fonction de vérification du CSS.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-4572";>CVE-2013-4572</a> <p>MediaWiki et l'extension CentralNotice ne positionnaient pas correctement les en-têtes du cache lors de la création d'un utilisateur, provoquant la mise en cache des cookies de la session, et le renvoi à d'autres utilisateurs.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-6452";>CVE-2013-6452</a> <p>Chris, de RationalWiki, a signalé qu'un fichier SVG qui contient des feuilles de styles externes pourrait être téléversé, ce qui pourrait conduire à une attaque de script intersite si une feuille XSL était utilisée pour inclure du JavaScript.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-6453";>CVE-2013-6453</a> <p>La vérification des SVG de MediaWiki pourrait être contournée si le XML est considéré incorrect.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-6454";>CVE-2013-6454</a> <p>La vérification du CSS de MediaWiki ne filtre pas les attributs -o-link, ce qui pourrait être utilisé pour exécuter du code JavaScript dans Opera 12.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-6472";>CVE-2013-6472</a> <p>MediaWiki affiche des informations à propos des pages supprimées dans l'API du journal, le <q>RecentChanges</q> amélioré, et les <q>watchlists</q> des utilisateurs.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2014-1610";>CVE-2014-1610</a> <p>Une vulnérabilité d'exécution de code à distance existait si la prise en charge de l'envoi de fichiers DjVu (native) ou PDF (en combinaison avec l'extension PdfHandler) était activée. Aucun de ces types de fichier n'est activé par défaut dans MediaWiki.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2014-2665";>CVE-2014-2665</a> <p>Contrefaçon de requête intersite dans le formulaire de connexion : un attaquant pourrait connecter une victime comme attaquant.</p></li> </ul> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:1.19.14+dfsg-0+deb7u1 du paquet mediawiki et 3.5~deb7u1 du paquet mediawiki-extensions.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:1.19.14+dfsg-1 du paquet mediawiki et 3.5 du paquet mediawiki-extensions.</p> <p>Nous vous recommandons de mettre à jour vos paquets mediawiki.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dsa-2891.data" # $Id: dsa-2891.wml,v 1.1 2014/04/02 16:55:52 baptiste-guest Exp $
Attachment:
signature.asc
Description: PGP signature