[RFR3] wml://security/2014/dsa-310{4,5}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Le 19/12/2014 06:36, JP Guillonneau a écrit :
> Bonjour,
> 
> suggestions.
> 
> Amicalement
Voici les textes corrigés pour une nouvelle relecture.
Amicalement
jipege

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités de sécurité ont été découvertes dans mailx de Heirloom,
une implémentation de la commande <q>mail</q> :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2004-2771";>CVE-2004-2771</a>

<p>mailx interprète les métacaractères de l'interpréteur dans certaines
adresses de courrier électronique.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7844";>CVE-2014-7844</a>

<p>Une fonctionnalité inattendue de mailx traite des adresses de courrier
électronique, syntaxiquement valables, comme des commandes d'interpréteur à 
exécuter.</p></li>

</ul>

<p>L'exécution de commandes de l'interpréteur peut être réactivée par l'option
<q>expandaddr</q>.</p>

<p>Notez que cette mise à jour de sécurité ne supprime pas cependant toutes les
possibilités de mailx d'exécution de commande. Les scripts qui envoient des
messages électroniques à des adresses obtenues d'une source non fiable (telle
qu'un formulaire web) pourraient utiliser le séparateur <code>--</code> avant
l'adresse de courrier électronique (ce qui a été corrigé de manière à 
fonctionner correctement dans cette mise à jour), ou ils pourraient être
modifiés pour invoquer plutôt la commande <code>mail -t</code> ou 
<code>sendmail -i -t</code>, transformant l'adresse du destinataire en partie
de l'en-tête du courrier électronique.</p>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 12.5-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets heirloom-mailx.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3105.data"
# $Id: dsa-3105.wml,v 1.3 2014/12/20 14:58:44 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>bsd-mailx, une implémentation de la commande <q>mail</q>, possède une 
fonctionnalité non documentée qui traite des adresses de courrier électronique,
syntaxiquement valables, comme des commandes dâ??interpréteur à  exécuter.</p>

<p>Les utilisateurs qui ont besoin de cette fonctionnalité peuvent la réactiver
avec l'option <q>expandaddr</q> dans un fichier mailrc approprié. Cette mise à 
à jour supprime aussi l'option obsolète <code>-T</code>. Une vulnérabilité de
sécurité antérieure, 
<a href="https://security-tracker.debian.org/tracker/CVE-2004-2771";>\
CVE-2004-2771</a>, avait déjà été corrigée dans le paquet bsd-mailx de Debian.</p>

<p>Notez que cette mise à jour de sécurité ne supprime pas cependant toutes les
possibilités de mailx d'exécution de commande. Les scripts qui envoient des
messages électroniques à des adresses obtenues d'une source non fiable (telle
qu'un formulaire web) pourraient utiliser le séparateur <code>--</code> avant
l'adresse de courrier électronique (ce qui a été corrigé de manière à 
fonctionner correctement dans cette mise à jour), ou ils pourraient être
modifiés pour invoquer plutôt la commande <code>mail -t</code> ou 
<code>sendmail -i -t</code>, transformant l'adresse du destinataire en partie
de l'en-tête du courrier électronique.</p>

<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 8.1.2-0.20111106cvs-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bsd-mailx.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3104.data"
# $Id: dsa-3104.wml,v 1.3 2014/12/20 14:58:44 jipege1-guest Exp $