Bonjour, Le 20/05/2014 08:34, JP Guillonneau a écrit : > Bonjour, > > suggestions. > > Amicalement. > Modifications adoptées. Je joins les fichiers pour une nouvelle relecture Amicalement jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans Django, un environnement de développement web de haut niveau en Python. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>
<ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0472";>CVE-2014-0472</a> <p>Benjamin Bach a découvert que Django manipulait incorrectement les chemins séparés par des points de Python lors de l'utilisation de la fonction reverse() de résolution d'URL. Un attaquant capable de demander une vue contrefaite pour l'occasion à partir d'une application Django pourrait utiliser ce problème pour faire importer par Django des modules arbitraires à partir du chemin de Python, avec comme conséquence une possible exécution de code.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0473";>CVE-2014-0473</a> <p>Paul McMillan a découvert que Django mettait en cache incorrectement certaines pages qui contenaient des cookies CSRF. Un attaquant distant pourrait utiliser ce défaut pour se procurer le jeton CSRF d'un autre utilisateur et contourner les protections CSRF prévues dans une application Django.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0474";>CVE-2014-0474</a> <p>Michael Koziarski a découvert que certaines classes de champs de modèle de Django ne réalisaient pas correctement la conversion de type sur leurs arguments. Cela permet à des attaquants distants d'obtenir des résultats imprévus.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1418";>CVE-2014-1418</a> <p>Michael Nelson, Natalia Bidart et James Westby ont découvert que des données mises en cache dans Django pourraient être fournies à une session différente ou à un utilisateur sans aucune session. Un attaquant peut utiliser cela pour obtenir des données privées ou empoisonner les caches.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3730";>CVE-2014-3730</a> <p>Peter Kuma et Gavin Wahl ont découvert que Django validait incorrectement certaines URL malformées des entrées des utilisateurs. Un attaquant peut utiliser cela pour provoquer des redirections inattendues.</p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.2.3-3+squeeze10.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.5-1+deb7u7.</p> <p>Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 1.6.5-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.5-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets python-django.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dsa-2934.data" # $Id: dsa-2934.wml,v 1.1 2014/05/19 22:43:25 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution complète de virtualisation sur les machines x86.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4344";>CVE-2013-4344</a> <p>Un dépassement de tampon dans l'implémentation de SCSI dans QEMU, quand un contrôleur a plus de 256 périphériques attachés, permet à des utilisateurs locaux d'augmenter leurs droits à l'aide d'un petit tampon de transfert dans une commande REPORT LUNS.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2894";>CVE-2014-2894</a> <p>Une erreur due à un décalage d'entier dans la fonction cmd_smart de l'autotest intelligent de hw/ide/core.c dans QEMU permet aux utilisateurs locaux d'avoir des conséquences non spécifiées à l'aide d'une commande SMART EXECUTE OFFLINE qui déclenche un dépassement de tampon par le bas et une corruption de mémoire.</p></li> </ul> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u3.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu-kvm.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dsa-2933.data" # $Id: dsa-2933.wml,v 1.1 2014/05/19 22:43:25 jipege1-guest Exp $
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Mise à jour de sécurité</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur rapide de processeur.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4344";>CVE-2013-4344</a> <p>Un dépassement de tampon dans l'implémentation de SCSI dans QEMU, quand un contrôleur a plus de 256 périphériques attachés, permet à des utilisateurs locaux d'augmenter leurs droits à l'aide d'un petit tampon de transfert dans une commande REPORT LUNS.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2894";>CVE-2014-2894</a> <p>Une erreur due à un décalage d'entier dans la fonction cmd_smart de l'autotest intelligent de hw/ide/core.c dans QEMU permet aux utilisateurs locaux d'avoir des conséquences non spécifiées à l'aide d'une commande SMART EXECUTE OFFLINE qui déclenche un dépassement de tampon par le bas et une corruption de mémoire.</p></li> </ul> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6a+deb7u3.</p> <p>Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 2.0.0+dfsg-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.0.0+dfsg-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets qemu.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dsa-2932.data" # $Id: dsa-2932.wml,v 1.1 2014/05/19 22:43:25 jipege1-guest Exp $
