Re: [RFR] wml://security/2013/dsa-267{0,1,2}.wml
Bonjour, Quelques suggestions pour chacune des annonces, amicalement jipege -- Vous utilisez la version libre et gratuite d'OBM, développée et supportée par Linagora. Contribuez à la RD du produit en souscrivant à une offre entreprise. http://pro.obm.org/ - http://www.linagora.com --- dsa-2672.wml 2013-05-25 15:26:19.0 +0200 +++ dsa-2672jpg.wml 2013-05-25 15:53:22.0 +0200 @@ -3,7 +3,7 @@ define-tag moreinfo p Adam Nowacki a découvert que la nouvelle implémentation NFS de -FreeBSD traite une requête READDIR contrefaite qui instruit de faire +FreeBSD traite une requête READDIR contrefaite qui donne l'instruction de faire fonctionner un système de fichiers sur un nÅud de fichier comme sâil sâagissait dâun nÅud de répertoire, avec pour conséquence un plantage de noyau ou éventuellement l'exécution de code arbitraire. --- dsa-2671.wml 2013-05-25 15:42:19.0 +0200 +++ dsa-2671jpg.wml 2013-05-25 15:47:53.0 +0200 @@ -30,7 +30,7 @@ p Un utilisateur malveillant autorisé à voir les pages dâadministration peut exécuter des composants Mason arbitraires (sans contrôle des -arguments), ce qui pourrait introduire des effets secondaires négatifs. +arguments), ce qui pourrait produire des effets secondaires négatifs. /p/li lia href=http://security-tracker.debian.org/tracker/CVE-2013-3370;CVE-2013-3370/a @@ -44,7 +44,7 @@ lia href=http://security-tracker.debian.org/tracker/CVE-2013-3371;CVE-2013-3371/a p Request Tracker est vulnérable aux attaques par script -intersite à l'aide des noms de fichiers attachés. +intersite à l'aide de noms de fichiers attachés. /p/li lia href=http://security-tracker.debian.org/tracker/CVE-2013-3372;CVE-2013-3372/a @@ -69,7 +69,7 @@ lia href=http://security-tracker.debian.org/tracker/CVE-2013-3374;CVE-2013-3374/a p Request Tracker est vulnérable à la réutilisation de session limitée lors de -l'utilisation de stockage de session à base de fichier, Apache::Session::File. +l'utilisation du stockage de session à base de fichier, Apache::Session::File. Cependant, la configuration de session par défaut de Request Tracker nâutilise Apache::Session::File quâavec les bases de données Oracle. @@ -84,9 +84,9 @@ Si la base de données est gérée par dbconfig, la possibilité d'appliquer automatiquement cette mise à niveau sera proposée. -Sinon, consultez les explications de +Sinon, consultez les explications du fichier /usr/share/doc/request-tracker4/NEWS.Debian.gz -pour les étapes à réaliser vous-même. +pour connaître les étapes à réaliser vous-même. /p p Veuillez remarquer que, si vous exécutez request-tracker4 sous le --- dsa-2670.wml 2013-05-25 15:33:26.0 +0200 +++ dsa-2670jpg.wml 2013-05-25 15:39:03.0 +0200 @@ -22,7 +22,7 @@ p Un utilisateur malveillant autorisé à voir les pages dâadministration peut exécuter des composants Mason arbitraires (sans contrôle des -arguments), ce qui pourrait introduire des effets secondaires négatifs. +arguments), ce qui pourrait produire des effets secondaires négatifs. /p/li lia href=http://security-tracker.debian.org/tracker/CVE-2013-3370;CVE-2013-3370/a @@ -36,7 +36,7 @@ lia href=http://security-tracker.debian.org/tracker/CVE-2013-3371;CVE-2013-3371/a p Request Tracker est vulnérable aux attaques par script -intersite à l'aide des noms de fichiers attachés. +intersite à l'aide de noms de fichiers attachés. /p/li lia href=http://security-tracker.debian.org/tracker/CVE-2013-3372;CVE-2013-3372/a @@ -61,7 +61,7 @@ lia href=http://security-tracker.debian.org/tracker/CVE-2013-3374;CVE-2013-3374/a p Request Tracker est vulnérable à la réutilisation de session limitée lors de -l'utilisation de stockage de session à base de fichier, Apache::Session::File. +l'utilisation du stockage de session à base de fichier, Apache::Session::File. Cependant, la configuration de session par défaut de Request Tracker nâutilise Apache::Session::File quâavec les bases de données Oracle. @@ -76,9 +76,9 @@ Si la base de données est gérée par dbconfig, la possibilité d'appliquer automatiquement cette mise à niveau sera proposée. -Sinon, consultez les explications de +Sinon, consultez les explications du fichier /usr/share/doc/request-tracker3.8/NEWS.Debian.gz -pour les étapes à réaliser vous-même. +pour connaître les étapes à réaliser vous-même. /p p Veuillez remarquer que, si vous exécutez request-tracker3.8 sous le
Re: [RFR] wml://security/2013/dsa-267{0,1,2}.wml
Bonjour, Le 23/05/2013 03:49, David Prévot a écrit : Trois annonces de sécurité ont été publiées, par avance merci pour vos relectures. Corrections sur deux d'entre elles. Baptiste--- dsa-2670.wml2013-05-23 09:18:05.660076200 +0200 +++ ./dsa-2670-bj.wml 2013-05-23 09:18:05.800710200 +0200 @@ -81,7 +81,7 @@ pour les étapes à réaliser vous-même. /p p -Veuillez remarquer que, si vous exécuter request-tracker3.8 sous le +Veuillez remarquer que, si vous exécutez request-tracker3.8 sous le serveur web Apache, vous devez arrêter et redémarrer Apache vous-même. Le mécanisme de redémarrage (qrestart/q) nâest pas recommandé, @@ -92,7 +92,7 @@ pPour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.8.8-7+squeeze7./p p -Les distributions stable, testing et unstable en contiennent plus +Les distributions stable, testing et unstable ne contiennent plus request-tracker3.8, qui a été remplacé par request-tracker4. /p --- dsa-2671.wml2013-05-23 09:18:23.004828600 +0200 +++ ./dsa-2671-bj.wml 2013-05-23 09:18:23.145461700 +0200 @@ -89,7 +89,7 @@ pour les étapes à réaliser vous-même. /p p -Veuillez remarquer que, si vous exécuter request-tracker4 sous le +Veuillez remarquer que, si vous exécutez request-tracker4 sous le serveur web Apache, vous devez arrêter et redémarrer Apache vous-même. Le mécanisme de redémarrage (qrestart/q) nâest pas recommandé,
[RFR] wml://security/2013/dsa-267{0,1,2}.wml
Salut, Trois annonces de sécurité ont été publiées, par avance merci pour vos relectures. Amicalement David #use wml::debian::translation-check translation=1.1 maintainer=David Prévot define-tag descriptionConflit d'interprétation/define-tag define-tag moreinfo p Adam Nowacki a découvert que la nouvelle implémentation NFS de FreeBSD traite une requête READDIR contrefaite qui instruit de faire fonctionner un système de fichiers sur un nÅud de fichier comme sâil sâagissait dâun nÅud de répertoire, avec pour conséquence un plantage de noyau ou éventuellement l'exécution de code arbitraire. /p p Le noyau kfreebsd-8 dans la distribution oldstable nâactive pas la nouvelle implémentation NFS. Le noyau Linux nâest pas concerné par cette vulnérabilité. /p pPour la distribution stable (Wheezy), ce problème a été corrigé dans la version 9.0-10+deb70.1./p pPour la distribution testing (Jessie) et la distribution unstable (Sid), ce problème a été corrigé dans la version 9.0-11./p pNous vous recommandons de mettre à jour vos paquets kfreebsd-9./p /define-tag # do not modify the following line #include $(ENGLISHDIR)/security/2013/dsa-2672.data # $Id: dsa-2672.wml,v 1.1 2013-05-22 22:45:49 taffit Exp $ #use wml::debian::translation-check translation=1.1 maintainer=David Prévot define-tag descriptionPlusieurs vulnérabilités/define-tag define-tag moreinfo p Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système paramétrable de suivi de problèmes. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants./p ul lia href=http://security-tracker.debian.org/tracker/CVE-2012-4733;CVE-2012-4733/a p Un utilisateur avec le droit de modifier un ticket (ModifyTicket) peut contourner le droit de supprimer un ticket (DeleteTicket) et nâimporte quel droit personnalisé de transition du cycle de vie et ainsi modifier des données de ticket sans autorisation. /p/li lia href=http://security-tracker.debian.org/tracker/CVE-2013-3368;CVE-2013-3368/a p Lâoutil rt en ligne de commande utilise des fichiers temporaires partiellement prévisibles. Un utilisateur malveillant peut utiliser ce défaut pour écraser des fichiers avec les droits de lâutilisateur exécutant lâoutil rt en ligne de commande. /p/li lia href=http://security-tracker.debian.org/tracker/CVE-2013-3369;CVE-2013-3369/a p Un utilisateur malveillant autorisé à voir les pages dâadministration peut exécuter des composants Mason arbitraires (sans contrôle des arguments), ce qui pourrait introduire des effets secondaires négatifs. /p/li lia href=http://security-tracker.debian.org/tracker/CVE-2013-3370;CVE-2013-3370/a p Request Tracker permet des requêtes directes aux composants de rappel privé, ce qui pourrait être utilisé pour exploiter une extension de Request Tracker ou un rappel local qui utilise les arguments qui lui sont passés de façon non sécurisée. /p/li lia href=http://security-tracker.debian.org/tracker/CVE-2013-3371;CVE-2013-3371/a p Request Tracker est vulnérable aux attaques par script intersite à l'aide des noms de fichiers attachés. /p/li lia href=http://security-tracker.debian.org/tracker/CVE-2013-3372;CVE-2013-3372/a p Dominic Hargreaves a découvert que Request Tracker est vulnérable à une injection dâen-tête HTTP limitée à la valeur de lâen-tête Content-Disposition. /p/li lia href=http://security-tracker.debian.org/tracker/CVE-2013-3373;CVE-2013-3373/a p Request Tracker est vulnérable à une injection dâen-tête MIME dans les courriers sortants créés par Request Tracker. /p p Les modèles initiaux de Request Tracker sont corrigés par cette mise à jour. En revanche, tous les modèles de message personnalisé devraient être mis à jour pour s'assurer que les valeurs insérées dans les en-têtes de messages ne contiennent pas de changements de lignes. /p/li lia href=http://security-tracker.debian.org/tracker/CVE-2013-3374;CVE-2013-3374/a p Request Tracker est vulnérable à la réutilisation de session limitée lors de l'utilisation de stockage de session à base de fichier, Apache::Session::File. Cependant, la configuration de session par défaut de Request Tracker nâutilise Apache::Session::File quâavec les bases de données Oracle. /p/li /ul p Cette version de Request Tracker contient une mise à niveau de contenu de base de données. Si la base de données est gérée par dbconfig, la possibilité d'appliquer automatiquement cette mise à niveau sera proposée. Sinon, consultez les explications de /usr/share/doc/request-tracker4/NEWS.Debian.gz pour les étapes à réaliser vous-même. /p p Veuillez remarquer que, si vous exécuter request-tracker4 sous le serveur web Apache, vous devez arrêter et redémarrer Apache vous-même. Le mécanisme de redémarrage (qrestart/q) nâest pas recommandé, en particulier si vous utilisez mod_perl ou nâimporte quelle forme de processus Perl