Salut, Le 03/07/2013 02:06, Baptiste a écrit :
> Propositions et corrections jointes. > Sois tu es fatigué, sois tu vérifies qu'il y a des relecteurs des dsa > ces jours-ci ! L’idée m’a traversé l’esprit, mais je vais éviter d’utiliser des excuses de vieux prof… Le 03/07/2013 02:51, JP Guillonneau a écrit : > une autre relecture. Merci à vous deux, et merci d’avance pour vos dernières remarques. Amicalement David
#use wml::debian::translation-check translation="1.1" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été identifiées dans WordPress, un gestionnaire de blog. Puisque les CVE ont été allouées à partir des annonces de publication, et que les corrections spécifiques ne sont normalement pas identifiées, le paquet wordpress a été mis à jour vers sa dernière version amont au lieu de rétroporter les correctifs. </p> <p> Cela signifie qu'une attention toute particulière doit être portée lors de la mise à niveau, en particulier lors de l'utilisation de greffons ou thèmes tiers, puisque la compatibilité pourrait avoir été altérée. Nous recommandons aux utilisateurs de vérifier leur installation avant de procéder à la mise à niveau. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2173";>CVE-2013-2173</a> <p> Un déni de service a été découvert dans la façon dont WordPress réalise le calcul de hachage lors de la vérification de mot de passe pour les articles protégés. Un attaquant fournissant une entrée soigneusement contrefaite en tant que mot de passe pourrait forcer une utilisation excessive du processeur sur la plate-forme. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2199";>CVE-2013-2199</a> <p> Plusieurs vulnérabilités de contrefaçon de requête côté serveur (SSRF) ont été découvertes dans lâinterface de programmation HTTP. Câest relatif à <a href="http://security-tracker.debian.org/tracker/CVE-2013-0235";>CVE-2013-0235</a>, qui était spécifique aux requêtes de ping et a été corrigé dans la version 3.5.1. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2200";>CVE-2013-2200</a> <p> Une vérification inappropriée des capacités dâun utilisateur pourrait lui permettre dâaugmenter ses droits, activant la possibilité de publier des articles alors que son rôle dâutilisateur ne devrait pas lâautoriser et dâassigner des articles à dâautres auteurs. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2201";>CVE-2013-2201</a> <p> Plusieurs vulnérabilités de script intersite (XSS) à cause dâentrées mal protégées ont été découvertes dans les formulaires dâenvoi de fichiers multimédia et de greffons. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2202";>CVE-2013-2202</a> <p> Une vulnérabilité dâinjection dâentités externes XML par lâintermédiaire de réponses oEmbed. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2203";>CVE-2013-2203</a> <p> Un dévoilement de chemin complet (FPD) a été découvert dans le mécanisme dâenvoi de fichier. Si le répertoire dâenvoi nâest pas accessible en écriture, le message dâerreur renvoyé contient le chemin complet du répertoire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2204";>CVE-2013-2204</a> <p> Usurpation de contenu par lâintermédiaire dâapplettes Flash dans le greffon multimédia tinyMCE embarqué. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2205";>CVE-2013-2205</a> <p> Script intersite (XSS) dans le greffon dâenvoi SWFupload embarqué. </p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.5.2+dfsg-1~deb6u1.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.5.2+dfsg-1~deb7u1.</p> <p>Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 3.5.2+dfsg-1.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.5.2+dfsg-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets wordpress.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2718.data" # $Id: dsa-2718.wml,v 1.1 2013/07/02 23:01:37 taffit Exp $
signature.asc
Description: OpenPGP digital signature
