[RFR] wml://security/2012/dsa-256{7,8}.wml

[David Prévot]

Salut,

Quelques annonces de sécurité ont été publiées, par avance merci pour
vos relectures.

Amicalement

David



#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>

<p>
Plusieurs vulnérabilités ont été découvertes dans
Request Tracker (RT), un système de suivi de problème.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4730";>CVE-2012-4730</a>
<p>
Les utilisateurs authentifiés peuvent ajouter des en-têtes
ou du contenu arbitraires aux courriers générés par RT.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4732";>CVE-2012-4732</a>
<p>
Une vulnérabilité de contrefaçon de requête intersite pourrait
permettre aux attaquants de basculer les marque-pages de ticket.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4734";>CVE-2012-4734</a>
<p>
Si les utilisateurs suivent une URI contrefaite et se connectent à RT, ils
pourraient déclencher des actions qui auraient normalement été bloquées
par la logique de prévention de contrefaçon de requête intersite.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4735";>CVE-2012-4735</a>
<p>
Plusieurs vulnérabilités différentes dans le traitement de GnuPG permettent aux
attaquants de forcer RT à signer les courriers sortant de façon incorrecte.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4884";>CVE-2012-4884</a>
<p>
Si la prise en charge de GnuPG est activée, les utilisateurs
authentifiés peuvent créer des fichiers arbitraires en tant que
serveur web, ce qui pourrait activer l'exécution de code arbitraire.
</p></li>

</ul>

<p>
Veuillez remarquer que si vous exécutez request-tracker3.8 avec le
serveur web Apache, vous devez arrêter et relancer Apache vous-même.

La commande <q>restart</q> n'est pas recommandée,
en particulier quand mod_perl est utilisé.
</p>

<p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.8.8-7+squeeze6.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.7-2 du paquet request-tracker4.</p>

<p>Nous vous recommandons de mettre à jour vos paquets request-tracker3.8.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2567.data"
# $Id: dsa-2567.wml,v 1.1 2012-10-26 21:20:13 taffit Exp $

#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Augmentation de droits</define-tag>
<define-tag moreinfo>
<p>
RTFM, le gestionnaire de FAQ de Request Tracker, permet aux utilisateurs
authentifiés de créer des articles dans n'importe quelle classe.
</p>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.4.2-4+squeeze2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets rtfm.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2568.data"
# $Id: dsa-2568.wml,v 1.1 2012-10-26 21:20:13 taffit Exp $

signature.asc
Description: OpenPGP digital signature