Salut, Deux nouvelles annonces de sécurité ont été publiées, par avance merci pour vos relectures.
Amicalement David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Multiples vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans la structure de développement web Django : </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0696";>CVE-2011-0696</a> <p> Pour plusieurs raisons, la protection CSRF interne n'était pas utilisée pour valider les requêtes AJAX par le passé. Cependant, on a découvert que cette exception peut être utilisée avec une combinaison de greffons de navigateurs et de redirections et ne suffit donc pas. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2011-0697";>CVE-2011-0697</a> <p> On a découvert que le formulaire d'envoi de fichiers est sujet aux attaques par script intersite à l'aide du nom de fichier. </p></li> </ul> <p> Il est important de noter que cet mise à jour introduit de légères incompatibilités ascendantes suite aux corrections des précédentes problèmes. Pour plus de précisions, veuillez consulter <url http://docs.djangoproject.com/en/1.2/releases/1.2.5/> et plus particulièrement la section <q>Backwards incompatible changes</q> (modifications sans compatibilité ascendante). </p> <p> Les paquets de l'ancienne distribution stable (Lenny) ne sont pas concernés par ces problèmes. </p> <p> Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.3-3+squeeze1. </p> <p> Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement. </p> <p> Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.2.5-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets python-django. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2163.data"
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Accès mémoire non valable</define-tag> <define-tag moreinfo> <p> Neel Mehta a découvert qu'un message d'initialisation <q>ClientHello</q> pourrait forcer OpenSSL à analyser au delà de la fin du message. Cela permet à un attaquant de planter une application utilisant OpenSSL en provoquant un accès mémoire non valable. De plus, certaines applications pourraient être vulnérables à la révélation de contenu d'une extension de demande de nom occasionnel OCSP analysée. </p> <p> Les paquets de l'ancienne distribution stable (Lenny) ne sont pas concernés par ces problèmes. </p> <p> Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.9.8o-4squeeze1. </p> <p> Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 0.9.8o-5. </p> <p> Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.9.8o-5. </p> <p> Nous vous recommandons de mettre à jour vos paquets openssl. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2162.data"
signature.asc
Description: OpenPGP digital signature
