Salut, Trois annonces de sécurité ont été publiées, par avance merci pour vos relectures.
Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Conflit d'interprétation</define-tag> <define-tag moreinfo> <p> Adam Nowacki a découvert que la nouvelle implémentation NFS de FreeBSD traite une requête READDIR contrefaite qui instruit de faire fonctionner un système de fichiers sur un nÅud de fichier comme sâil sâagissait dâun nÅud de répertoire, avec pour conséquence un plantage de noyau ou éventuellement l'exécution de code arbitraire. </p> <p> Le noyau kfreebsd-8 dans la distribution oldstable nâactive pas la nouvelle implémentation NFS. Le noyau Linux nâest pas concerné par cette vulnérabilité. </p> <p>Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 9.0-10+deb70.1.</p> <p>Pour la distribution testing (Jessie) et la distribution unstable (Sid), ce problème a été corrigé dans la version 9.0-11.</p> <p>Nous vous recommandons de mettre à jour vos paquets kfreebsd-9.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2672.data" # $Id: dsa-2672.wml,v 1.1 2013-05-22 22:45:49 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système paramétrable de suivi de problèmes. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4733">CVE-2012-4733</a> <p> Un utilisateur avec le droit de modifier un ticket (ModifyTicket) peut contourner le droit de supprimer un ticket (DeleteTicket) et nâimporte quel droit personnalisé de transition du cycle de vie et ainsi modifier des données de ticket sans autorisation. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3368">CVE-2013-3368</a> <p> Lâoutil rt en ligne de commande utilise des fichiers temporaires partiellement prévisibles. Un utilisateur malveillant peut utiliser ce défaut pour écraser des fichiers avec les droits de lâutilisateur exécutant lâoutil rt en ligne de commande. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3369">CVE-2013-3369</a> <p> Un utilisateur malveillant autorisé à voir les pages dâadministration peut exécuter des composants Mason arbitraires (sans contrôle des arguments), ce qui pourrait introduire des effets secondaires négatifs. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3370">CVE-2013-3370</a> <p> Request Tracker permet des requêtes directes aux composants de rappel privé, ce qui pourrait être utilisé pour exploiter une extension de Request Tracker ou un rappel local qui utilise les arguments qui lui sont passés de façon non sécurisée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3371">CVE-2013-3371</a> <p> Request Tracker est vulnérable aux attaques par script intersite à l'aide des noms de fichiers attachés. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3372">CVE-2013-3372</a> <p> Dominic Hargreaves a découvert que Request Tracker est vulnérable à une injection dâen-tête HTTP limitée à la valeur de lâen-tête Content-Disposition. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3373">CVE-2013-3373</a> <p> Request Tracker est vulnérable à une injection dâen-tête MIME dans les courriers sortants créés par Request Tracker. </p> <p> Les modèles initiaux de Request Tracker sont corrigés par cette mise à jour. En revanche, tous les modèles de message personnalisé devraient être mis à jour pour s'assurer que les valeurs insérées dans les en-têtes de messages ne contiennent pas de changements de lignes. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3374">CVE-2013-3374</a> <p> Request Tracker est vulnérable à la réutilisation de session limitée lors de l'utilisation de stockage de session à base de fichier, Apache::Session::File. Cependant, la configuration de session par défaut de Request Tracker nâutilise Apache::Session::File quâavec les bases de données Oracle. </p></li> </ul> <p> Cette version de Request Tracker contient une mise à niveau de contenu de base de données. Si la base de données est gérée par dbconfig, la possibilité d'appliquer automatiquement cette mise à niveau sera proposée. Sinon, consultez les explications de /usr/share/doc/request-tracker4/NEWS.Debian.gz pour les étapes à réaliser vous-même. </p> <p> Veuillez remarquer que, si vous exécuter request-tracker4 sous le serveur web Apache, vous devez arrêter et redémarrer Apache vous-même. Le mécanisme de redémarrage (<q>restart</q>) nâest pas recommandé, en particulier si vous utilisez mod_perl ou nâimporte quelle forme de processus Perl persistant comme FastCGI ou SpeedyCGI. </p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 4.0.7-5+deb7u2.</p> <p>Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.12-2.</p> <p>Nous vous recommandons de mettre à jour vos paquets request-tracker4.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2671.data" # $Id: dsa-2671.wml,v 1.1 2013-05-22 22:11:49 taffit Exp $
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système paramétrable de suivi de problèmes. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3368">CVE-2013-3368</a> <p> Lâoutil rt en ligne de commande utilise des fichiers temporaires partiellement prévisibles. Un utilisateur malveillant peut utiliser ce défaut pour écraser des fichiers avec les droits de lâutilisateur exécutant lâoutil rt en ligne de commande. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3369">CVE-2013-3369</a> <p> Un utilisateur malveillant autorisé à voir les pages dâadministration peut exécuter des composants Mason arbitraires (sans contrôle des arguments), ce qui pourrait introduire des effets secondaires négatifs. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3370">CVE-2013-3370</a> <p> Request Tracker permet des requêtes directes aux composants de rappel privé, ce qui pourrait être utilisé pour exploiter une extension de Request Tracker ou un rappel local qui utilise les arguments qui lui sont passés de façon non sécurisée. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3371">CVE-2013-3371</a> <p> Request Tracker est vulnérable aux attaques par script intersite à l'aide des noms de fichiers attachés. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3372">CVE-2013-3372</a> <p> Dominic Hargreaves a découvert que Request Tracker est vulnérable à une injection dâen-tête HTTP limitée à la valeur de lâen-tête Content-Disposition. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3373">CVE-2013-3373</a> <p> Request Tracker est vulnérable à une injection dâen-tête MIME dans les courriers sortants créés par Request Tracker. </p> <p> Les modèles initiaux de Request Tracker sont corrigés par cette mise à jour. En revanche, tous les modèles de message personnalisé devraient être mis à jour pour s'assurer que les valeurs insérées dans les en-têtes de messages ne contiennent pas de changements de lignes. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-3374">CVE-2013-3374</a> <p> Request Tracker est vulnérable à la réutilisation de session limitée lors de l'utilisation de stockage de session à base de fichier, Apache::Session::File. Cependant, la configuration de session par défaut de Request Tracker nâutilise Apache::Session::File quâavec les bases de données Oracle. </p></li> </ul> <p> Cette version de Request Tracker contient une mise à niveau de contenu de base de données. Si la base de données est gérée par dbconfig, la possibilité d'appliquer automatiquement cette mise à niveau sera proposée. Sinon, consultez les explications de /usr/share/doc/request-tracker3.8/NEWS.Debian.gz pour les étapes à réaliser vous-même. </p> <p> Veuillez remarquer que, si vous exécuter request-tracker3.8 sous le serveur web Apache, vous devez arrêter et redémarrer Apache vous-même. Le mécanisme de redémarrage (<q>restart</q>) nâest pas recommandé, en particulier si vous utilisez mod_perl ou nâimporte quelle forme de processus Perl persistant comme FastCGI ou SpeedyCGI. </p> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.8.8-7+squeeze7.</p> <p> Les distributions stable, testing et unstable en contiennent plus request-tracker3.8, qui a été remplacé par request-tracker4. </p> <p>Nous vous recommandons de mettre à jour vos paquets request-tracker3.8.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2670.data" # $Id: dsa-2670.wml,v 1.1 2013-05-22 21:48:43 taffit Exp $
signature.asc
Description: OpenPGP digital signature