Bonjour,

Voici quelques traductions de dla.

Merci d'avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été corrigées dans rpm :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8118";>CVE-2014-8118</a>

<p>Correction d’un dépassement d’entier permettant à des attaquants distants
d’exécuter du code arbitraire.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6435";>CVE-2013-6435</a>

<p>Empêchement pour des attaquants distants d’exécuter du code arbitraire à
l’aide de fichiers RPM contrefaits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-0815";>CVE-2012-0815</a>

<p>Correction d’un déni de service et d’une exécution possible de code à
l’aide d’une valeur négative pour l’emplacement de zone dans des fichiers RPM
contrefaits.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-0060";>CVE-2012-0060</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2012-0061";>CVE-2012-0061</a>

<p>Empêchement d’un déni de service (plantage) et éventuellement de
l’exécution de code arbitraire à l’aide d’une balise non valable de zone dans
des fichiers RPM.</p></li>

</ul>

<p>Nous vous recommandons de mettre à jour vos paquets rpm.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 4.8.1-6+squeeze2 de rpm.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-140.data"
# $Id : dla-140.wml,v 1.3 2016/04/08 20:32:23 djpig Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Une vulnérabilité a été corrigée dans la bibliothèque libksba de prise en
charge de X.509 et CMS :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9087";>CVE-2014-9087</a>

<p>Correction d’un dépassement de tampon dans ksba_oid_to_str, signalé par
Hanno Böck.</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ce problème a été corrigé dans la
version 1.0.7-2+deb6u1 de libksba.</p>
<p>Nous vous recommandons de mettre à jour vos paquets libksba.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-141.data"
# $Id: dla-141.wml,v 1.1 2017/08/11 07:16:55 jptha-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans Privoxy, un serveur
mandataire (Proxy) HTTP qui améliore la confidentialité :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1031";>CVE-2015-1031</a>,
CID66394 :

<p>unmap() : empêchement d’une utilisation de mémoire après libération si le
mappage consiste en un seul item.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1031";>CVE-2015-1031</a>,
CID66376 et CID66391 :

<p>pcrs_execute() : systématiquement régler *result à NULL en cas d’erreurs.
Cela devrait rendre une utilisation de mémoire après libération dans
l’appelant moins susceptible.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1381";>CVE-2015-1381</a>:

<p>Correction de plusieurs erreurs de segmentation et fuites de mémoire dans
le code de pcrs.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1382";>CVE-2015-1382</a>:

<p>Correction de validité de lectures pour empêcher des plantages potentiels.</p></li>

</ul>

<p>Nous vous recommandons de mettre à jour vos paquets privoxy.</p>
<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 3.0.16-1+deb6u1 de privoxy.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-142.data"
# $Id: dla-142.wml,v 1.1 2017/08/11 07:16:55 jptha-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Plusieurs problèmes de sécurité ont été découverts dans Django :
<a href="https://www.djangoproject.com/weblog/2015/jan/13/security/";>
https://www.djangoproject.com/weblog/2015/jan/13/security/</a></p>

<p>Pour Debian 6 Squeeze, ils ont été corrigés dans la
version 1.2.3-3+squeeze12 de python-django. Voici ce que les développeurs
amont ont à dire à propos de ces problèmes :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0219";>CVE-2015-0219</a>

<p>– Usurpation d’en-tête WSGI à l’aide d’une combinaison de tiret bas et
de tiret</p>

<p>Lorsque des en-têtes HTTP sont placés dans la fonction <q>environ</q> de
WSGI, ils sont standardisés en les convertissant en majuscules, en
convertissant tous les tirets en tirets bas et en ajoutant le préfixe HTTP_.
Par exemple, un en-tête X-Auth-User devient HTTP_X_AUTH_USER dans la fonction
<q>environ</q> WSGI (et par conséquent aussi dans le dictionnaire
request.META de Django).</p>

<p>Malheureusement, cela signifie que la fonction <q>environ</q> de WSGI ne
faisait pas de distinction entre les en-têtes contenant des tirets et ceux
contenant des tirets bas : X-Auth-User et X-Auth_User deviennent tous les deux
HTTP_X_AUTH_USER. Cela signifie que si un en-tête est utilisé dans un but
sécuritaire (par exemple, transmettre des informations d’authentification à
partir d’un mandataire frontal), même si le mandataire retire soigneusement
toute valeur entrante pour X-Auth-User, un attaquant pourrait être capable de
fournir un en-tête X-Auth_User header (avec un tiret bas) et de contourner
cette protection.</p>

<p>Dans le but d’empêcher de telles attaques, à la fois Nginx et Apache 2.4+
retirent par défaut tous les en-têtes contenant des tirets bas pour les
requêtes entrantes. Le serveur incorporé en développement de Django fait
maintenant la même chose. Celui-ci n’est pas recommandé en production, mais
uniformiser le comportement des serveurs de production courants réduit les
possibilités de changement de comportement lors de déploiements.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0220";>CVE-2015-0220</a>

<p>– Attaques XSS possibles à l’aide de redirections d’URL fournis par des
utilisateurs</p>

<p>Django dépend des saisies d’utilisateur dans certains cas (par exemple,
django.contrib.auth.views.login() et i18n) pour rediriger l’utilisateur vers
un URL lors d’un <q>succès</q>. Les vérifications de sécurité pour ces
redirections (à savoir django.util.http.is_safe_url()) ne retirent pas les
espaces de début dans les URL testés et de cette façon considèrent les URL
tels que « \njavascript:... » sûrs. Si un développeur se fie à is_safe_url()
pour fournir des cibles de redirections fiables et met un tel URL dans un
lien, elles pourraient subir une attaque XSS. Ce bogue n’affecte pas
actuellement Django, puisque cet URL est seulement mis dans l’en-tête de
réponse Location et les navigateurs paraissent ignorer JavaScript ici.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0221";>CVE-2015-0221</a>

<p>– Attaque par déni de service attaque contre django.views.static.serve</p>

<p>Dans les anciennes versions de Django, la vue django.views.static.serve()
lit les fichiers qu’il distribue en ligne à un certain moment. Par conséquent,
un gros fichier sans nouvelle ligne pourrait conduire dans une utilisation de
la mémoire égale à la taille de ce fichier. Un attaquant pourrait exploiter
cela et lancer une attaque par déni de service en demandant de nombreux gros
fichiers. Cette vue maintenant lit le fichier par morceaux pour prévenir d’un
usage excessif de la mémoire.</p>

<p>Notez, cependant, que cette vue a toujours transmis un avertissement qui
n’est pas renforcé lors d’une utilisation en production, et devrait être
seulement utilisée comme aide au développement. C’est peut-être le moment
d’analyser votre projet et servir vos fichiers en production en utilisant un
vrai serveur web frontal si vous ne le faites déjà.</p></li>

</ul>

<p>Notez que la version de Django utilisée dans Debian 6 Squeeze n’était pas
affectée par <a href="https://security-tracker.debian.org/tracker/CVE-2015-0222";>CVE-2015-0222</a>
(déni de service de base de données avec ModelPlusieursChoiceField) puisque
cette fonction n’existe pas dans cette version.</p>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 1.2.3-3+squeeze12 de python-django.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-143.data"
# $Id: dla-143.wml,v 1.1 2017/08/11 07:16:55 jptha-guest Exp $
#use wml::debian::translation-check translation="1.3" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>
<p>Brève présentation</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0237";>CVE-2014-0237</a>

<p>La fonction cdf_unpack_summary_info dans cdf.c du composant Fileinfo dans
PHP versions avant 5.4.29 et 5.5.x avant 5.5.13 permet à des attaquants
distants de provoquer un déni de service (dégradation de performance) en
déclenchant de nombreux appels file_printf.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0238";>CVE-2014-0238</a>

<p>La fonction cdf_read_property_info dans cdf.c du composant Fileinfo dans
PHP versions avant 5.4.29 et 5.5.x avant 5.5.13 permet à des attaquants
distants de provoquer un déni de service (boucle infinie ou accès mémoire hors
limites) à l’aide d’un vecteur, soit de longueur nulle, soit trop long.</p>
</li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2270";>CVE-2014-2270</a>

<p>Softmagic.c dans file avant la version 5.17 et libmagic permettent à des
attaquants, en fonction du contexte, de provoquer un déni de service (accès
mémoire hors limites et plantage) à l’aide d’emplacements contrefaits dans
softmagic d’un exécutable PE.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8117";>CVE-2014-8117</a>

<p>Arrêt des rapports de mauvaises capacités après les quelques premiers.
Limitation du nombre de programmes et de sections. Limitation du nombre de
niveaux de récursion.</p></li>

<li>CVE-2015-TEMP (pas encore de numéro de CVE officiel fourni)

<p>Déréférencement de pointeur NULL (bogues de PHP : n° 68739 et n° 68740).
Ajout de correctifs supplémentaires d’accès mémoire hors limites (bogue de
file n° 398) issus de <a href="https://security-tracker.debian.org/tracker/CVE-2014-3478";>CVE-2014-3478</a>.
</p></li>

</ul>

<p>Pour Debian 6 <q>Squeeze</q>, ces problèmes ont été corrigés dans la
version 5.3.3-7+squeeze24 de php5.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dla-145.data"
# $Id: dla-145.wml,v 1.1 2017/08/11 07:16:55 jptha-guest Exp $

Répondre à