Bonjour, Une nouvelle annonce de sécurité vient d'être publiée. Merci d'avance pour vos relectures.
Amicalement, jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans otrs2, le système libre de gestion de requêtes par tickets (Open Ticket Request System). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2014-1471";>CVE-2014-1471</a> <p>Norihiro Tanaka a signalé l'absence de vérification de jeton d'authentification par question/réponse. Un attaquant qui réussit à prendre le contrôle de la session d'un client connecté pourrait créer des tickets et/ou envoyer des suites à des tickets existant à cause de cette absence de vérification.</p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2014-1694";>CVE-2014-1694</a> <p>Karsten Nielsen de Vasgard GmbH a découvert qu'un attaquant avec un identifiant valide de client ou d'agent pourrait injecter du code SQL à travers l'URL de recherche de ticket.</p></li> </ul> <p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 2.4.9+dfsg1-3+squeeze5.</p> <p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.1.7+dfsg1-8+deb7u4.</p> <p>Pour la distribution testing (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.3.4-1.</p> <p>Nous vous recommandons de mettre à jour vos paquets otrs2.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2014/dsa-2867.data" # $Id: dsa-2867.wml,v 1.1 2014/02/23 20:45:03 carnil Exp $
