[RFR3] wml://security/2014/dsa-3008.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Le 22/08/2014 08:14, JP Guillonneau a écrit :
> Bonjour,
>
> détails.
>
>
> Amicalement.
Correction reprise
Pour une nouvelle relecture.
Amicalement
jipege

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans PHP, un langage de script
généraliste couramment utilisé pour le développement d'applications web. Le
projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes
suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3538";>CVE-2014-3538</a>

<p>La première correction pour <a href="https://security-tracker.debian.org/tracker/CVE-2013-7345";>CVE-2013-7345</a> n'a pas règlé le problème
de façon suffisante. Un attaquant distant pourrait encore provoquer un déni de
service (consommation de CPU) à l'aide d'un fichier d'entrée contrefait pour
l'occasion qui déclenche un retour en arrière durant le traitement d'une règle
d'expression rationnelle de awk.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3587";>CVE-2014-3587</a>

<p>L'analyseur CDF du module fileinfo ne traite pas correctement des fichiers
malformés de format <q>Composite Document File</q>, menant à des plantages.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3597";>CVE-2014-3597</a>

<p>La première correction pour <a href="https://security-tracker.debian.org/tracker/CVE-2014-4049";>CVE-2014-4049</a> n'a pas règlé le problème
de façon suffisante. Un serveur malveillant ou un attaquant de type « homme du
milieu » pourrait provoquer un déni de service (plantage) et éventuellement
exécuter du code arbitraire à l'aide d'un enregistrement TXT de DNS contrefait.
</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4670";>CVE-2014-4670</a>

<p>PHP ne gère pas proprement certains itérateurs de SPL. Un attaquant local
pourrait utiliser ce défaut pour provoquer un plantage de PHP, résultant en un
déni de service.</p></li>

</ul>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans
la version 5.4.4-14+deb7u13. En complément, cette mise à jour contient des
corrections de bogues prévues à l'origine pour la prochaine version
intermédiaire de Wheezy.</p>

<p>Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.</p>

<p>Nous vous recommandons de mettre à jour vos paquets php5.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3008.data"
# $Id: dsa-3008.wml,v 1.3 2014/08/22 07:40:43 jipege1-guest Exp $