[RFR2] wml://security/2014/dsa-308{5,6}.wml
Bonjour,Le 04/12/2014 10:47, Baptiste Jammet a écrit :
> Bonjour,
>
> Le 03/12/2014 23:10, jean-pierre giraud a écrit :
>
>> Deux nouvelles annonces de sécurité viennent d'être publiées. En voici
>> une traduction.
>> Merci d'avance pour vos relectures.
>
> Un détail.
>
> Baptiste
Correction effectuée, merci Baptiste.
Merci pour une nouvelle relecture.
Amicalement
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans Wordpress, un
outil de blog, résultant en un déni de service ou en la divulgation
d'informations. Plus d'informations sont disponibles dans l'annonce de
l'équipe amont à l'adresse
<url "https://wordpress.org/news/2014/11/wordpress-4-0-1/"; /></p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9031";>CVE-2014-9031</a>
<p>Jouko Pynnonen a découvert une vulnérabilité de script intersite (XSS) non
authentifié dans wptexturize(), exploitable par des commentaires ou des
articles.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9033";>CVE-2014-9033</a>
<p>Une vulnérabilité par contrefaçon de requête intersite (CSRF) dans le
processus de changement de mot de passe pourrait être utilisée par un
attaquant pour piéger un utilisateur en changeant son mot de passe.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9034";>CVE-2014-9034</a>
<p>Javier Nieto Arevalo et Andres Rojas Guerrero ont signalé un potentiel
déni de service dans la manière dont la bibliothèque phpass est utilisée pour
gérer les mots de passe dans la mesure aucune longueur maximum de mot de passe
n'est imposée.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9035";>CVE-2014-9035</a>
<p>John Blackbourn a signalé un script intersite (XSS) dans la fonction
<q>Press This</q> (utilisée pour publier rapidement avec le signapplet -
<q>bookmarklet</q> - d'un navigateur).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9036";>CVE-2014-9036</a>
<p>Robert Chapin a signalé script intersite (XSS) dans le filtrage HTML de CSS
dans les articles.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9037";>CVE-2014-9037</a>
<p>David Anderson a signalé une vulnérabilité de comparaison de hachage
pour les mots de passes stockés utilisant le schéma MD5 d'ancien style.
Bien que cela soit peu probable, cela pourrait être exploité pour compromettre
un compte, si l'utilisateur ne s'est pas connecté depuis la mise à niveau vers
Wordpress 2.5 (introduite dans Debian le 2 avril 2008), et provoquer une
collision du hachage MD5 du mot de passe imputable à une comparaison PHP
dynamique.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9038";>CVE-2014-9038</a>
<p>Ben Bidner a signalé une contrefaçon de requête du côté du serveur (SSRF)
dans le cÅ?ur HTTP qui bloque insuffisamment l'espace d'adresses IP de bouclage.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9039";>CVE-2014-9039</a>
<p>Momen Bassel, Tanoy Bose et Bojan Slavkovic ont signalé une vulnérabilité
dans le processus de réinitialisation de mot de passe : un changement d'adresse
électronique n'invaliderait pas un message antérieur de réinitialisation de mot
de passe.</p></li>
</ul>
<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u5.</p>
<p>Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.0.1+dfsg-1.</p>
<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.1+dfsg-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3085.data"
# $Id: dsa-3085.wml,v 1.2 2014/12/04 20:23:27 jipege1-guest Exp $
Reply to: