[RFR] wml://security/2015/dsa-33{28,30,31,32,33,34,35}.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Sept nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Request Tracker, un système paramétrable de suivi de problèmes, est
vulnérable à une attaque de script intersite à l'aide des pages de gestion des
droits d'utilisateur et de groupe (<a
href="https://security-tracker.debian.org/tracker/CVE-2015-5475";>CVE-2015-5475</a>)
et à l'aide de l'interface de chiffrement, permettant à un attaquant avec une
clé soigneusement contrefaite d'injecter du code JavaScript dans l'interface
utilisateur de RT. Les installations qui n'utilisent ni GnuPG ni S/MIME ne
sont pas affectées par la seconde vulnérabilité de script intersite.</p>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés
dans la version 4.0.7-5+deb7u4. La distribution oldstable (Wheezy) est
seulement affectée par le <a
href="https://security-tracker.debian.org/tracker/CVE-2015-5475";>CVE-2015-5475</a>.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.2.8-3+deb8u1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.2.11-2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets request-tracker4.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3335.data"
# $Id: dsa-3335.wml,v 1.1 2015/08/13 23:14:50 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Kurt Roeckx a découvert que le décodage d'un certificat particulier avec
des entrées de nom absolu (DN, « Distinguished Name ») très longues menait à 
une double libération de zone de mémoire. Un attaquant distant peut prendre
avantage de ce défaut en créant un certificat contrefait pour l'occasion qui,
lors de son traitement par une application compilé avec GnuTLS, pourrait
provoquer le plantage de l'application, résultant en un déni de service.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.3.8-6+deb8u2.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.3.17-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets gnutls28.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3334.data"
# $Id: dsa-3334.wml,v 1.1 2015/08/13 23:14:50 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans Iceweasel, la
version de Debian du navigateur web Mozilla Firefox : plusieurs erreurs de
sécurité de la mémoire, des dépassements d'entier, des dépassements de tampon, 
des utilisations de mémoire après libération et d'autres erreurs
d'implémentation pourraient conduire à l'exécution de code arbitraire, à 
un contournement de la politique de même origine ou à un déni de service.</p>

<p>Debian suit les éditions longue durée (ESR, « Extended Support Release »)
de Firefox. Le suivi des séries 31.x est terminé, aussi, à partir de cette
mise à jour, Debian suit les versions 38.x.</p>

<p>Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 38.2.0esr-1~deb7u1.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 38.2.0esr-1~deb8u1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 38.2.0esr-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets iceweasel.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3333.data"
# $Id: dsa-3333.wml,v 1.1 2015/08/13 23:14:50 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été corrigées dans Wordpress, le populaire
moteur de blog.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-2213";>CVE-2015-2213</a>

<p>Une injection SQL permettait à un attaquant distant de compromettre le site.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5622";>CVE-2015-5622</a>

<p>La robustesse du filtre des étiquettes de « shortcodes » HTML a été
améliorée. L'analyse est un peu plus stricte, ce qui peut affecter votre
installation. Cela est la version corrigée du correctif qui devait être
retirée dans la DSA 3328-2.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4730";>CVE-2015-4730</a>

<p>Une possible attaque temporelle par canal auxiliaire dans les widgets.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5731";>CVE-2015-5731</a>

<p>Un attaquant pourrait verrouiller un envoi qui était en révision.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5732";>CVE-2015-5732</a>

<p>Une attaque de script intersite dans un « widget title » permet à un
attaquant de voler des interventions sensibles.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5734";>CVE-2015-5734</a>

<p>Correction de liens cassés dans le « Legacy Theme Preview ».</p>

<p>Ces problèmes ont été découverts par Marc-Alexandre Montpas de Sucuri,
Helen Hou-Sandí de l'équipe de sécurité de WordPress, Netanel Rubin de Check
Point, Ivan Grigorov, Johannes Schmitt de Scrutinizer et Mohamed A. Baset.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.1+dfsg-1+deb8u4.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.2.4+dfsg-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3332.data"
# $Id: dsa-3332.wml,v 1.1 2015/08/13 23:14:50 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans les composants du
serveur du système de gestion de version subversion.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3184";>CVE-2015-3184</a>

<p>mod_authz_svn de Subversion ne restreint pas correctement l'accès anonyme
dans certains environnements mixtes anonyme et authentifié quand httpd 2.4
d'Apache est utilisé. Le résultat est qu'un accès anonyme est possible à des
fichiers pour lesquels seul un accès authentifié devrait être possible. Ce
problème n'affecte pas la distribution oldstable (Wheezy) parce qu'elle ne
fournit que httpd 2.2 d'Apache.</p>

</li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3187";>CVE-2015-3187</a>

<p>Les serveurs de Subversion, à la fois httpd et svnserve, révéleront
certains chemins qui devraient être cachés par authz basé sur les chemins.
 Quand un nÅ?ud est copié à  partir d'un emplacement non accessible vers un
emplacement lisible, le chemin non accessible peut être révélé. Cette
vulnérabilité ne révèle que le chemin mais ne révèle pas le contenu du chemin.</p></li>

</ul>

<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.6.17dfsg-4+deb7u10.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.8.10-6+deb8u1.</p>

<p>Pour la distribution testing (Stretch), ces problèmes seront corrigés dans la version 1.9.0-1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.0-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets subversion.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3331.data"
# $Id: dsa-3331.wml,v 1.1 2015/08/13 23:14:50 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>L'agent de messages ActiveMQ d'Apache est vulnérable à un déni de service
avec une commande, non documentée, d'extinction à distance. </p>

<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la
version 5.6.0+dfsg-1+deb7u1. Cette mise à jour corrige également <a
href="https://security-tracker.debian.org/tracker/CVE-2014-3612";>CVE-2014-3612</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2014-3600";>CVE-2014-3600</a>.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.6.0+dfsg1-4+deb8u1.</p>

<p>Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.</p>

<p>Nous vous recommandons de mettre à jour vos paquets activemq.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3330.data"
# $Id: dsa-3330.wml,v 1.1 2015/08/13 23:14:50 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Wordpress, le populaire
moteur de blog.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3429";>CVE-2015-3429</a>

<p>Le fichier example.html dans le paquet de la police Genericicons icon et
le thème Twenty Fifteen de Wordpress permettait une attaque par script
intersite.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5622";>CVE-2015-5622</a>

<p>La robustesse du filtre des étiquettes de « shortcodes » HTML a été
améliorée. L'analyse est un peu plus stricte, ce qui peut affecter votre
installation.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-5623";>CVE-2015-5623</a>

<p>Une vulnérabilité de script intersite permettait à des utilisateurs avec le
rôle de contributeur ou d'auteur d'augmenter leurs droits.</p></li>

</ul>

<p>La distribution oldstable (Wheezy) est seulement affectée par <a
href="https://security-tracker.debian.org/tracker/CVE-2015-5622";>CVE-2015-5622</a>.
Ce problème moins critique sera corrigé plus tard.</p>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.1+dfsg-1+deb8u2.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.2.3+dfsg-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3328.data"
# $Id: dsa-3328.wml,v 1.1 2015/08/13 23:14:50 jipege1-guest Exp $