[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2017/dsa-389{6,7}.wml

Bonjour,
deux nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités ont été découvertes dans Drupal, un environnement
complet de gestion de contenu. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-7943";>CVE-2015-7943</a>

<p>Samuel Mortenson et Pere Orga ont découvert que le module Overlay ne
valide pas suffisamment les URL avant d'afficher leur contenu, menant à une
vulnérabilité de redirection d'ouverture.</p>

<p>Plus d'informations sont disponibles à l'adresse
<a href="https://www.drupal.org/SA-CORE-2015-004";>https://www.drupal.org/SA-CORE-2015-004</a>
</p>
</li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-6922";>CVE-2017-6922</a>

<p>Greg Knaddison, Mori Sugimoto et iancawthorne ont découvert que lorsque
des fichiers sont envoyés par des utilisateurs anonymes dans un système de
fichiers privé, d'autres utilisateurs anonymes peuvent y accéder menant à
une vulnérabilité de contournement d'accès.</p>

<p>Plus d'informations sont disponibles à l'adresse
<a href="https://www.drupal.org/SA-CORE-2017-003";>https://www.drupal.org/SA-CORE-2017-003</a>
</p>
</li>

</ul>

<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 7.32-1+deb8u9.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 7.52-2+deb9u1. Pour la distribution stable (Stretch),
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7943";>CVE-2015-7943</a> a déjà été corrigé avant la publication initiale.</p>

<p>Nous vous recommandons de mettre à jour vos paquets drupal7.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3897.data"
# $Id: dsa-3897.wml,v 1.1 2017/06/25 07:07:28 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans le serveur HTTPD
Apache.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3167";>CVE-2017-3167</a>

<p>Emmanuel Dreyfus a signalé que l'utilisation d'ap_get_basic_auth_pw()
par les modules tiers en dehors de la phase d'authentification pourrait
mener à un contournement des exigences d'authentification.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-3169";>CVE-2017-3169</a>

<p>Vasileios Panopoulos d'AdNovum Informatik AG a découvert que mod_ssl
peut déréférencer un pointeur NULL lorsque des modules tiers appellent
ap_hook_process_connection() pendant une requête HTTP à un port HTTPS
menant à un déni de service.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7659";>CVE-2017-7659</a>

<p>Robert Swiecki a signalé qu'une requête HTTP/2 contrefaite pour
l'occasion pourrait forcer mod_http2 à déréférencer un pointeur NULL et à
planter le processus du serveur.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7668";>CVE-2017-7668</a>

<p>Javier Jimenez a signalé que l'analyse d'HTTP strict renfermait un
défaut menant à une lecture hors limite de tampon dans ap_find_token(). Un
attaquant distant peut tirer avantage de ce défaut en contrefaisant
soigneusement une séquence d'en-têtes de requêtes pour provoquer une erreur
de segmentation, ou à forcer ap_find_token() à renvoyer une valeur
incorrecte.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-7679";>CVE-2017-7679</a>

<p>ChenQin et Hanno Boeck ont signalé que mod_mime peut lire un octet
au-delà la fin d'un tampon lors de l'envoi d'un en-tête de réponse
Content-Type malveillant.</p></li>

</ul>

<p>Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés
dans la version 2.4.10-10+deb8u9. La distribution oldstable (Jessie) n'est
pas affectée par <a href="https://security-tracker.debian.org/tracker/CVE-2017-7659";>CVE-2017-7659</a>.</p>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2.4.25-3+deb9u1.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.4.25-4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets apache2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3896.data"
# $Id: dsa-3896.wml,v 1.1 2017/06/25 07:10:34 jipege1-guest Exp $
Reply to: