[RFR] wml://security/2014/dla-11{3,4}.wml​

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Voici 2 traductions de dla. Ce sont les copies conformes de dsa 3104 et
3105 (à part quelques mises en forme). Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>bsd-mailx, une implémentation de la commande <q>mail</q>, possède une 
fonctionnalité non documentée qui traite des adresses de courrier électronique,
syntaxiquement valables, comme des commandes dâ??interpréteur à  exécuter.</p>

<p>Les utilisateurs qui ont besoin de cette fonctionnalité peuvent la réactiver
avec l'option <q>expandaddr</q> dans un fichier mailrc approprié. Cette mise à 
à jour supprime aussi l'option obsolète <code>-T</code>. Une vulnérabilité de
sécurité antérieure, 
<a href="https://security-tracker.debian.org/tracker/CVE-2004-2771";>\
CVE-2004-2771</a>, avait déjà été corrigée dans le paquet bsd-mailx de Debian.</p>

<p>Notez que cette mise à jour de sécurité ne supprime pas cependant toutes les
possibilités de mailx d'exécution de commande. Les scripts qui envoient des
messages électroniques à des adresses obtenues d'une source non fiable (telle
qu'un formulaire web) pourraient utiliser le séparateur <code>--</code> avant
l'adresse de courrier électronique (ce qui a été corrigé de manière à 
fonctionner correctement dans cette mise à jour), ou ils pourraient être
modifiés pour invoquer plutôt la commande <code>mail -t</code> ou 
<code>sendmail -i -t</code>, transformant l'adresse du destinataire en partie
de l'en-tête du courrier électronique.</p>

<p>Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans
la version 8.1.2-0.20100314cvs-1+deb6u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets bsd-mailx.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-113.data"
# $Id: dla-113.wml,v 1.1 2017/07/08 22:36:22 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.4" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Deux vulnérabilités de sécurité ont été découvertes dans mailx de Heirloom,
une implémentation de la commande <q>mail</q> :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2004-2771";>CVE-2004-2771</a>

<p>mailx interprète les métacaractères de l'interpréteur dans certaines
adresses de courrier électronique.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7844";>CVE-2014-7844</a>

<p>Une fonctionnalité inattendue de mailx traite des adresses de courrier
électronique, syntaxiquement valables, comme des commandes d'interpréteur à 
exécuter.</p>

<p>L'exécution de commandes de l'interpréteur peut être réactivée par l'option
<q>expandaddr</q>.</p>

<p>Notez que cette mise à jour de sécurité ne supprime pas cependant toutes les
possibilités de mailx d'exécution de commande. Les scripts qui envoient des
messages électroniques à des adresses obtenues d'une source non fiable (telle
qu'un formulaire web) pourraient utiliser le séparateur <code>--</code> avant
l'adresse de courrier électronique (ce qui a été corrigé de manière à 
fonctionner correctement dans cette mise à jour), ou ils pourraient être
modifiés pour invoquer plutôt la commande <code>mail -t</code> ou 
<code>sendmail -i -t</code>, transformant l'adresse du destinataire en partie
de l'en-tête du courrier électronique.</p></li>

</ul>

<p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés
dans la version 12.4-2+deb6u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets heirloom-mailx.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-114.data"
# $Id: dla-114.wml,v 1.1 2017/07/08 22:36:22 jipege1-guest Exp $