[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2014/dsa-294{1,2,3,4}.wml

Bonjour,
Le 03/06/2014 08:38, JP Guillonneau a écrit :

Bonjour,

suggestions.
https://fr.wikipedia.org/wiki/PHP-FPM
Corrections effectuées. Merci pour la référence. Je n'avais cherché (et trouvé) que FPM. 
Pour une nouvelle relecture.
Amicalement
jipege


#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans PHP, un langage de script généraliste couramment utilisé pour le développement d'applications web :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0185";>CVE-2014-0185</a>

<p>Les droits par défaut du socket de lâ??interface FPM de PHP
ont été changés de 0666 en 0660 pour réduire une vulnérabilité de sécurité
(<a href="https://security-tracker.debian.org/tracker/CVE-2014-0185";>\
CVE-2014-0185</a>) dans lâ??interface FPM de PHP qui
permettait à un utilisateur local quelconque d'exécuter du code PHP
sous l'indentité de l'utilisateur actif du processus dâ??interface FPM
grâce à un client FastCGI contrefait.</p>

<p>La configuration par défaut de Debian affecte maintenant correctement la
valeur de listen.owner et listen.group à www-data:www-data dans le fichier
php-fpm.conf par défaut. Si vous avez plusieurs instances dâ??interface FPM
ou un serveur web qui ne tourne pas sous l'identité de
l'utilisateur www-data, vous devez modifier la valeur des groupes de
lâ??interface FPM dans /etc/php5/fpm/pool.d/ pour que les processus
aient les droits pour accéder au socket.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0237";>CVE-2014-0237</a> / 
<a href="https://security-tracker.debian.org/tracker/CVE-2014-0238";>CVE-2014-0238</a>

<p>Déni de service dans l'analyseur CDF du module fileinfo.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2270";>CVE-2014-2270</a>

<p>Déni de service dans le module fileinfo.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 5.4.4-14+deb7u10.</p>

<p>Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2943.data"
# $Id: dsa-2943.wml,v 1.2 2014/06/03 19:30:42 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>La fonction clean_html() de lxml (liaisons Python pour les bibliothèques
libxml2 et libxslt) réalise une vérification insuffisante de certains
caractères non imprimables. Cela pourrait conduire à un problème de script
intersite.</p>

<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.3.2-1+deb7u1.</p>

<p>Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 3.3.5-1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.3.5-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets lxml.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2941.data"
# $Id: dsa-2941.wml,v 1.2 2014/06/03 19:30:42 jipege1-guest Exp $
Reply to: