[RFR2] wml://security/2014/dla-6{5,6,7,8,9}.wml

[JP Guillonneau <guillonneau.jeanpaul@free.fr>]

Bonjour,

le mercredi 26 juillet  9:57, jean-pierre giraud a écrit :

>Suggestions, pinaillages et préférences personnelles.

Merci intégrées.
Voici les nouveaux fichiers.
Merci d’avance pour vos autres relectures.


Amicalement.

--
Jean-Paul

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour corrige un problème avec reverse() créant des URL
externes, un déni de service impliquant le téléversement de fichier, un
problème de détournement de session potentiel dans un intergiciel
dâ??utilisateur distant, et une fuite de données dans lâ??interface
administrative.</p>

<p>Cette mise à jour vous est apportée grâce aux parrains de Debian LTS :
<a href="http://www.freexian.com/services/debian-lts.html";>http://www.freexian.com/services/debian-lts.html</a></p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0480";>CVE-2014-0480</a>

<p>Django est fourni avec une fonction dâ??assistance
django.core.urlresolvers.reverse, classiquement utilisée pour créer un URL à 
partir dâ??une référence pour inspecter une fonction ou un nom de modèle dâ??URL.
Cependant, lorsqu'une entrée est présentée avec deux barres obliques (//),
reverse() pourrait créer un URL fonction du modèle à  dâ??autres hôtes, permettant
à  un attaquant conscient de lâ??usage non sûr de reverse(), (c'est-à -dire pour
prendre un cas courant, dans une situation où un utilisateur final peut
contrôler la cible dâ??une redirection), de créer des liens vers les sites de son
choix, dâ??activer lâ??hameçonnage ou dâ??autres attaques.</p>

<p>Pour remédier à  cela, la résolution inverse dâ??URL (URL reversing)
veille dorénavant à  ce quâ??aucun URL ne commence avec deux barres obliques (//), en
remplaçant la seconde barre oblique par sa contrepartie encodée dâ??URL (%2F).
Cette approche garantit que les sémantiques restent les mêmes, tout en rendant
les URL relatifs au domaine et non au modèle.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0481";>CVE-2014-0481</a>

<p>Dans la configuration par défaut, quand le système de téléversement de
fichier de Django est fourni avec un fichier qui aurait les mêmes nom et chemin
sur le disque quâ??un fichier existant, il essaie de créer un nouveau nom unique
de fichier en ajoutant un tiret bas et un nombre à la fin du nom de fichier
(tel quâ??enregistré sur le disque), incrémentant le nombre (c'est-à -dire, _1,
 _2, etc.) jusquâ??à  créer un nom nâ??entrant pas en conflit avec celui dâ??un
fichier existant.</p>

<p>Un attaquant connaissant cela peut exploiter le comportement séquentiel de
la création de nom de fichier, en téléversant de nombreux petits fichiers qui
ont en commun un nom de fichier. Django, dans leur traitement, créera des
nombres continuellement croissant dâ??appels de os.stat() en essayant de créer un
nom de fichier unique. Par conséquent, même un nombre relativement petit de
tels téléversements peut dégrader de manière significative les
performances.</p>

<p>Pour remédier à cela, le système de téléversement de fichier de Django
nâ??utilisera plus de noms avec nombres séquentiels pour éviter des conflits de
noms de fichier sur le disque. � la place, une chaîne alphanumérique courte et
aléatoire sera ajoutée, supprimant la possibilité de créer de manière fiable
plusieurs noms de fichier continuellement différents.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0482";>CVE-2014-0482</a>

<p>Django fournit un intergiciel, django.contrib.auth.middleware.RemoteUserMiddleware,
et un dorsal dâ??authentification, django.contrib.auth.backends.RemoteUserBackend,
utilisant lâ??en-tête REMOTE_USER en vue dâ??authentification.</p>

<p>Dans quelques circonstances, lâ??utilisation de ces intergiciel et dorsal
pourrait conduire à  ce quâ??un utilisateur reçoive la session d'un autre
utilisateur, si une modification de lâ??en-tête REMOTE_USER se produit sans
action de connexion ou déconnexion.</p>

<p>Pour remédier à  cela, lâ??intergiciel garantit dorénavant quâ??un changement
dans REMOTE_USER, sans une déconnexion explicite, forcera une connexion avant
dâ??accepter un nouveau REMOTE_USER.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0483";>CVE-2014-0483</a>

<p>Lâ??interface administrative de Django, django.contrib.admin, fournit une
fonction permettant à  des objets voisins dâ??être affichés pour une sélection dans
une fenêtre surgissante. Le mécanisme pour cela repose sur le placement de
valeurs dans lâ??URL et de chaînes de requête qui indiquent le modèle concerné
à afficher et le champ dans lequel le lien est implémenté. Ce mécanisme doit
réaliser des vérifications de permission au niveau de la classe du modèle dans
son ensemble.</p>

<p>Ce mécanisme, cependant, ne vérifiait pas que le champ indiqué représentait
effectivement le lien entre les modèles. Par conséquent, un utilisateur ayant
accès à  lâ??interface dâ??administration et avec une connaissance suffisante de la
structure du modèle et des URL adéquats, pourrait construire des fenêtres
surgissantes qui pourraient afficher des valeurs de champs non liés, y compris des
champs que le développeur de lâ??application nâ??avait pas prévu dâ??exposer de cette
façon.</p>

<p>Pour remédier à  cela, lâ??interface administrative, en plus de ses
vérifications habituelles de permission, vérifie que le champ indiqué
représente effectivement un lien avec le modèle enregistré par lâ??administrateur
et lèvera une exception si lâ??une des conditions est fausse.</p></li>

</ul>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 1.2.3-3+squeeze11 de python-django.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-65.data"
# $Id: dla-65.wml,v 1.2 2017/07/26 19:09:49 jptha-guest Exp $

#use wml::debian::translation-check translation="1.4" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0231";>CVE-2014-0231</a>Â :
<p>Empêchement dâ??un déni de service dans mod_cgid.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0226";>CVE-2014-0226</a>Â :
<p>Empêchement dâ??un déni de service à  lâ??aide d'une situation de compétition
dans mod_status.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0118";>CVE-2014-0118</a>Â :
<p>Correction de consommation de ressources à  lâ??aide de la décompression du
corps de mod_deflate.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6438";>CVE-2013-6438</a>Â :
<p>Empêchement dâ??un déni de service à  lâ??aide dâ??une fin de chaîne incorrecte de
mod_dav.</p></li>
</ul>

<p>Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la
version 2.2.16-6+squeeze13 dâ??apache2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-66.data"
# $Id: dla-66.wml,v 1.2 2017/07/26 19:09:49 jptha-guest Exp $

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3538";>CVE-2014-3538</a>

<p>Le correctif original pour <a href="https://security-tracker.debian.org/tracker/CVE-2013-7345";>CVE-2013-7345</a>
ne corrige pas suffisamment le problème. Un attaquant distant pourrait encore
provoquer un déni de service (consommation de CPU) à  l'aide d'un fichier dâ??entrée
contrefait pour l'occasion, déclenchant un retour arrière durant le traitement
dâ??une règle dâ??expression rationnelle dâ??awk.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3587";>CVE-2014-3587</a>

<p>L'analyseur CDF du module fileinfo ne traite pas correctement des fichiers
malformés de format CDF (Composite Document File), menant à des plantages.</p>
</li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3597";>CVE-2014-3597</a>

<p>Le correctif original pour <a href="https://security-tracker.debian.org/tracker/CVE-2014-4049";>CVE-2014-4049</a>
ne corrige pas suffisamment le problème. Un serveur malveillant ou un attaquant
de type « homme du milieu » pourrait provoquer un déni de service (plantage) ou
éventuellement exécuter du code arbitraire à l'aide d'un enregistrement
DNS TXT contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4670";>CVE-2014-4670</a>

<p>PHP gère incorrectement certains itérateurs de SPL. Un attaquant local pourrait
utiliser ce défaut pour provoquer un plantage de PHP, conduisant à un déni
de service.</p></li>

</ul>

<p>Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 5.3.3-7+squeeze22 de php5.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-67.data"
# $Id: dla-67.wml,v 1.2 2017/07/26 19:09:49 jptha-guest Exp $

#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<ul>
<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3875";>CVE-2014-3875</a>]

 <p>Lors de lâ??insertion de caractères de nouvelle lignes encodés dans une
 requête vers rup, des en-têtes HTTP supplémentaires peuvent être injectés dans
 la réponse, ainsi que du nouveau code HTML en haut du site web.</p></li>

<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3876";>CVE-2014-3876</a>]
 <p>Le paramètre akey est réfléchi non filtré comme composant de la page HTML.
 Quelques caractères sont interdits dans le paramètre GET à cause du filtrage
 de lâ??URL, mais cela peut être contourné en utilisant le paramètre POST.
 Néanmoins, ce défaut est exploitable à  lâ??aide du paramètre GET seul, sous
 réserve d'interaction avec l'utilisateur.</p></li>

<li>[<a href="https://security-tracker.debian.org/tracker/CVE-2014-3877";>CVE-2014-3877</a>]
 <p>Le paramètre addto est seulement réfléchi légèrement filtré vers
 lâ??utilisateur comme composant de la page HTML. Quelques caractères sont
 interdits dans le paramètre GET à  cause du filtrage de lâ??URL, mais cela peut
 être contourné en utilisant le paramètre POST. Néanmoins, ce défaut est
 exploitable à  lâ??aide du paramètre GET seul, sous réserve d'interaction
 avec lâ??utilisateur.</p></li>

</ul>
<p>Pour Debian 6 Squeeze, ce problème a été corrigé dans la
 version 20100208+debian1-1+squeeze4 de fex.<p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-68.data"
# $Id: dla-68.wml,v 1.2 2017/07/26 19:09:49 jptha-guest Exp $

#use wml::debian::translation-check translation="1.2" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Stefano Zacchiroli a découvert que certains fichiers dâ??entrée JavaScript
font entrer ctags dans une boucle infinie jusquâ??à  ce qu'il déborde de lâ??espace
disque. Cette mise à jour corrige l'analyseur JavaScript.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans
exuberant-ctags, version 1:5.8-3squeeze2.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dla-69.data"
# $Id: dla-69.wml,v 1.2 2017/07/26 19:09:49 jptha-guest Exp $