[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR3] wml://security/2015/dsa-329{7,8,9}.wml

Bonjour,

Le 08/07/2015 00:23, jean-pierre giraud a écrit :
> dsa-3297, préférence personnelle :
> ligne 7 s / grâce à la configuration / par la configuration
> + une proposition de correction du dsa-3299.

J'ai tout pris, merci Jean-Pierre.

Amicalement,
Thomas

#use wml::debian::translation-check translation="1.2" maintainer="Thomas Vincent"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Le paquet (<q>bundle</q>) WebDAV Jackrabbit était vulnérable à une attaque
XXE/XEE. Lors du traitement du corps d'une requête WebDAV contenant du XML,
l'analyseur XML pourrait recevoir pour consigne de lire du contenu depuis des
ressources accessibles sur le réseau par l'hôte, identifiées par des schémas
d'URI tels que <q>http(s)</q> ou <q>file</q>. En fonction de la requête WebDAV,
cette vulnérabilité pourrait non seulement être utilisée pour déclencher des
requêtes sur le réseau interne, mais pourrait aussi servir à insérer le dit
contenu dans la requête, le révélant éventuellement le système à l'attaquant et
à d'autres.</p>

<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 2.3.6-1+deb7u1.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2.3.6-1+deb8u1.</p>

<p>Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 2.10.1-1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.10.1-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets jackrabbit.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3298.data"
# $Id: dsa-3298.wml,v 1.2 2015/07/08 10:06:13 tvincent Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Thomas Vincent"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Unattended-upgrades, un script pour l'installation automatique des mises à
niveau de sécurité, n'authentifiait pas correctement les paquets téléchargés
quand les options force-confold ou force-confnew de dpkg étaient activées
par la configuration DPkg::Options::* d'apt.</p>

<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 0.79.5+wheezy2.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 0.83.3.2+deb8u1.</p>

<p>Pour la distribution unstable (Sid), ce problème sera bientôt corrigé.</p>

<p>Nous vous recommandons de mettre à jour vos paquets unattended-upgrades.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3297.data"
# $Id: dsa-3297.wml,v 1.2 2015/07/08 10:06:13 tvincent Exp $

Attachment: signature.asc
Description: OpenPGP digital signature

Reply to: