Re: [RFR] wml://security/2014/dsa-308{5,6}.wml

2014-12-04 Par sujet Baptiste Jammet 

Bonjour,

Le 03/12/2014 23:10, jean-pierre giraud a écrit :


Deux nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.


Un détail.

Baptiste
--- dsa-3085.wml2014-12-04 09:33:30.946443900 +0100
+++ ./dsa-3085-bj.wml   2014-12-04 09:33:31.053454600 +0100
@@ -18,7 +18,7 @@
 lia 
href=https://security-tracker.debian.org/tracker/CVE-2014-9033;CVE-2014-9033/a
 
 pUne vulnérabilité par contrefaçon de requête intersite (CSRF) dans le
-processus de changement de mot de passe pourrait être utilisé par un
+processus de changement de mot de passe pourrait être utilisée par un
 attaquant pour piéger un utilisateur en changeant son mot de passe./p/li
 
 lia 
href=https://security-tracker.debian.org/tracker/CVE-2014-9034;CVE-2014-9034/a

[RFR] wml://security/2014/dsa-308{5,6}.wml

2014-12-03 Par sujet jean-pierre giraud 
Bonjour,
Deux nouvelles annonces de sécurité viennent d'être publiées. En voici
une traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation=1.1 maintainer=Jean-Pierre Giraud
define-tag descriptionMise à jour de sécurité/define-tag
define-tag moreinfo
pPlusieurs vulnérabilités ont été découvertes dans tcpdump, un outil
en ligne de commande d'analyse de trafic de réseau. Ces vulnérabilités
pourraient avoir pour conséquence un déni de service, la fuite de
renseignements sensibles de la mémoire ou, éventuellement, l'exécution de
code arbitraire./p

pPour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 4.3.0-1+deb7u1./p

pPour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.6.2-3./p

pPour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.6.2-3./p

pNous vous recommandons de mettre à jour vos paquets tcpdump./p
/define-tag

# do not modify the following line
#include $(ENGLISHDIR)/security/2014/dsa-3086.data
# $Id: dsa-3086.wml,v 1.1 2014/12/03 22:08:54 jipege1-guest Exp $
#use wml::debian::translation-check translation=1.1 maintainer=Jean-Pierre Giraud
define-tag descriptionMise à jour de sécurité/define-tag
define-tag moreinfo
pPlusieurs problèmes de sécurité ont été découverts dans Wordpress, un
outil de blog, résultant en un déni de service ou en la divulgation
d'informations. Plus d'informations sont disponibles dans l'annonce de
l'équipe amont à l'adresse
url https://wordpress.org/news/2014/11/wordpress-4-0-1/; //p

ul

lia href=https://security-tracker.debian.org/tracker/CVE-2014-9031;CVE-2014-9031/a

pJouko Pynnonen a découvert une vulnérabilité de script intersite (XSS) non
authentifié dans wptexturize(), exploitable par des commentaires ou des
articles./p/li

lia href=https://security-tracker.debian.org/tracker/CVE-2014-9033;CVE-2014-9033/a

pUne vulnérabilité par contrefaçon de requête intersite (CSRF) dans le
processus de changement de mot de passe pourrait être utilisé par un
attaquant pour piéger un utilisateur en changeant son mot de passe./p/li

lia href=https://security-tracker.debian.org/tracker/CVE-2014-9034;CVE-2014-9034/a

pJavier Nieto Arevalo et Andres Rojas Guerrero ont signalé un potentiel
déni de service dans la manière dont la bibliothèque phpass est utilisée pour
gérer les mots de passe dans la mesure aucune longueur maximum de mot de passe
n'est imposée./p/li

lia href=https://security-tracker.debian.org/tracker/CVE-2014-9035;CVE-2014-9035/a

pJohn Blackbourn a signalé un script intersite (XSS) dans la fonction
qPress This/q (utilisée pour publier rapidement avec le signapplet - 
qbookmarklet/q - d'un navigateur)./p/li

lia href=https://security-tracker.debian.org/tracker/CVE-2014-9036;CVE-2014-9036/a

pRobert Chapin a signalé script intersite (XSS) dans le filtrage HTML de CSS
dans les articles./p/li

lia href=https://security-tracker.debian.org/tracker/CVE-2014-9037;CVE-2014-9037/a

pDavid Anderson a signalé une vulnérabilité de comparaison de hachage
pour les mots de passes stockés utilisant le schéma MD5 d'ancien style.
Bien que cela soit peu probable, cela pourrait être exploité pour compromettre
un compte, si l'utilisateur ne s'est pas connecté depuis la mise à niveau vers
Wordpress 2.5 (introduite dans Debian le 2 avril 2008), et provoquer une
collision du hachage MD5 du mot de passe imputable à une comparaison PHP
dynamique./p/li

lia href=https://security-tracker.debian.org/tracker/CVE-2014-9038;CVE-2014-9038/a

pBen Bidner a signalé une contrefaçon de requête du côté du serveur (SSRF)
dans le cœur HTTP qui bloque insuffisamment l'espace d'adresses IP de bouclage./p/li

lia href=https://security-tracker.debian.org/tracker/CVE-2014-9039;CVE-2014-9039/a

pMomen Bassel, Tanoy Bose et Bojan Slavkovic ont signalé une vulnérabilité
dans le processus de réinitialisation de mot de passe : un changement d'adresse
électronique n'invaliderait pas un message antérieur de réinitialisation de mot
de passe./p/li

/ul

pPour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u5./p

pPour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.0.1+dfsg-1./p

pPour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.1+dfsg-1./p

pNous vous recommandons de mettre à jour vos paquets wordpress./p
/define-tag

# do not modify the following line
#include $(ENGLISHDIR)/security/2014/dsa-3085.data
# $Id: dsa-3085.wml,v 1.1 2014/12/03 22:08:54 jipege1-guest Exp $