Bonjour,
Quelques corrections après relecture.
Baptiste
#use wml::debian::translation-check translation="1.5" maintainer="Baptiste
Jammet"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans MediaWiki, un moteur
de wiki.
Le projet <q>Common Vulnerabilities and Exposures</q> (CVE) identifie les
problèmes suivants :</p>
<ul>
<li><a
href="http://security-tracker.debian.org/tracker/CVE-2013-2031";>CVE-2013-2031</a>
<p>Attaque de script intersite via une séquence valide de caractères UTF-7
dans un fichier SVG.</p></li>
<li><a
href="http://security-tracker.debian.org/tracker/CVE-2013-4567";>CVE-2013-4567</a>
& <a
href="http://security-tracker.debian.org/tracker/CVE-2013-4568";>CVE-2013-4568</a>
<p>Kevin Israel (utilisateur PleaseStand dans Wikipedia) a signalé deux façons
d'injecter du code Javascript à cause d'une liste noire incomplète dans la
fonction de vérification du
CSS.</p></li>
<li><a
href="http://security-tracker.debian.org/tracker/CVE-2013-4572";>CVE-2013-4572</a>
<p>MediaWiki et l'extension CentralNotice ne positionnaient pas correctement
les en-têtes du
cache lors de la création d'un utilisateur, provoquant la mise en cache du
cookie de la session,
et le renvoi à d'autres utilisateurs.</p></li>
<li><a
href="http://security-tracker.debian.org/tracker/CVE-2013-6452";>CVE-2013-6452</a>
<p>Chris, de RationalWiki, a signalé qu'un fichier SVG qui contient des
feuilles de styles externes
pourrait être téléversé, ce qui pourrait conduire à une attaque de script
intersite
si une feuille XSL était utilisée pour inclure du JavaScript.</p></li>
<li><a
href="http://security-tracker.debian.org/tracker/CVE-2013-6453";>CVE-2013-6453</a>
<p>La vérification des SVG de MediaWiki pourrait être contournée si le XML
est considéré invalide.</p></li>
<li><a
href="http://security-tracker.debian.org/tracker/CVE-2013-6454";>CVE-2013-6454</a>
<p>La vérification du CSS de MediaWiki ne filtre pas les attributs -o-link,
ce qui pourrait être utilisé pour exécuter du code JavaScript dans Opera
12.</p></li>
<li><a
href="http://security-tracker.debian.org/tracker/CVE-2013-6472";>CVE-2013-6472</a>
<p>MediaWiki affiche des informations à propos des pages supprimées
dans l'API du journal, le <q>RecentChanges</q> amélioré, et les
<q>watchlists</q> des utilisateurs.</p></li>
<li><a
href="http://security-tracker.debian.org/tracker/CVE-2014-1610";>CVE-2014-1610</a>
<p>Une vulnérabilité d'exécution de code à distance existait si la prise en
charge
de l'envoi de fichiers DjVu (natif) ou PDF (en combinaison avec l'extension
PdfHandler) était activée.
Aucun type de fichier n'est activé par défaut dans MediaWiki.</p></li>
<li><a
href="http://security-tracker.debian.org/tracker/CVE-2014-2665";>CVE-2014-2665</a>
<p>Contrefaçon de requête intersite dans le formulaire de connexion :
un attaquant pourrait connecter une victime comme attaquant.</p></li>
</ul>
<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés
dans la
version 1:1.19.14+dfsg-0+deb7u1 du paquet mediawiki et 3.5~deb7u1
du paquet mediawiki-extensions.</p>
<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans
la
version 1:1.19.14+dfsg-1 du paquet mediawiki et 3.5 du paquet
mediawiki-extensions.</p>
<p>Nous vous recommandons de mettre à jour vos paquets mediawiki.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2891.data"
# $Id: dsa-2891.wml,v 1.5 2014/04/01 20:38:59 carnil Exp $
