[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2014/dsa-310{4,5}.wml

Bonjour,
Le 18/12/2014 16:04, Baptiste Jammet a écrit :
> Bonjour,
> 
> Le 18/12/2014 07:14, jean-pierre giraud a écrit :
> 
>> Deux nouvelles annonces de sécurité viennent d'être publiées. En voici
>> une traduction.
> 
> Ça sent les vacances, je trouve des coquilles dans les traductions de 
> Jean-Pierre !
> C'est l'heure de faire une pause !
> 
> Baptiste
> 
> (Merci Jean-Pierre d'assurer les DSA depuis ... un certain temps)
> 
Voilà c'est corrigé. Ça se voit que j'ai besoin de vacances ?
Je renvoie les fichiers pour une nouvelle relecture.
Amicalement
jipege

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités de sécurité ont été découvertes dans mailx de Heirloom,
une implémentation de la commande <q>mail</q> :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2004-2771";>CVE-2004-2771</a>

<p>mailx interprète les métacaractères de l'interpréteur dans certaines
adresses de courrier électronique.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7844";>CVE-2014-7844</a>

<p>Une fonctionnalité inattendue de mailx traite des adresses de courrier
électronique, syntaxiquement valides, comme des commandes de l'interpréteur à
exécuter.</p></li>

</ul>

<p>L'exécution de commandes de l'interpréteur peut être réactivée par l'option
<q>expandaddr</q>.</p>

<p>Notez que cette mise à jour de sécurité ne supprime pas cependant toutes les
possibilités de mailx d'exécution de commande. Les scripts qui envoient des
messages électroniques à des adresses obtenues d'une source non fiable (telle
qu'un formulaire web) pourraient utiliser le séparateur <code>--</code> avant
l'adresse de courrier électronique (ce qui a été corrigé de manière à
fonctionner correctement dans cette mise à jour), ou ils pourraient être
modifiés pour invoquer plutôt la commande <code>mail -t</code> ou 
<code>sendmail -i -t</code>, transformant l'adresse du destinataire en partie
de l'en-tête du courrier électronique.</p>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 12.5-2+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets heirloom-mailx.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3105.data"
# $Id: dsa-3105.wml,v 1.2 2014/12/19 00:43:17 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>bsd-mailx, une implémentation de la commande <q>mail</q>, possède une 
fonctionnalité non documentée qui traite des adresses de courrier électronique,
syntaxiquement valides, comme des commande shell à exécuter.</p>

<p>Les utilisateurs qui ont besoin de cette fonctionnalité peuvent la réactiver
avec l'option <q>expandaddr</q> dans un fichier mailrc approprié. Cette mise à
à jour supprime aussi l'option obsolète <code>-T</code>. Une vulnérabilité de
sécurité antérieure, 
<a href="https://security-tracker.debian.org/tracker/CVE-2004-2771";>\
CVE-2004-2771</a>, avait déjà été corrigée dans le paquet bsd-mailx de Debian.</p>

<p>Notez que cette mise à jour de sécurité ne supprime pas cependant toutes les
possibilités de mailx d'exécution de commande. Les scripts qui envoient des
messages électroniques à des adresses obtenues d'une source non fiable (telle
qu'un formulaire web) pourraient utiliser le séparateur <code>--</code> avant
l'adresse de courrier électronique (ce qui a été corrigé de manière à
fonctionner correctement dans cette mise à jour), ou ils pourraient être
modifiés pour invoquer plutôt la commande <code>mail -t</code> ou 
<code>sendmail -i -t</code>, transformant l'adresse du destinataire en partie
de l'en-tête du courrier électronique.</p>

<p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 8.1.2-0.20111106cvs-1+deb7u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bsd-mailx.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3104.data"
# $Id: dsa-3104.wml,v 1.2 2014/12/19 00:43:17 jipege1-guest Exp $
Reply to: