[ddr] webwml://security/2003/dsa-253,4.wml
Bonjour,
Voici quelques DSAs relues.
Merci à Joel, Frédéric et Pierre, Thomas.
<define-tag description>Fuite d'information</define-tag>
<define-tag moreinfo>
<p>Une faille de sécurité a été découverte dans OpenSSL, une implémentation
de <i>Secure Socket Layer</i> (SSL). Dans un papier à paraître prochainement,
Brice Canvel (EPFL), Alain Hiltgen (UBS), Serge Vaudenay (EPFL) et Martin
Vuagnoux (EPFL,Ilion) décrivent et démontrent une attaque basée sur une
synchronisation sur les suites cipher CBC utilisées dans SSL et TLS.
OpenSSL est vulnérable à cette attaque.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version 0.9.6c-2.woody.2.</p>
<p>Pour l'ancienne distribution stable (<i>Potato</i>), ce problème a été
corrigé dans la version 0.9.6c-0.potato.5. Veuillez noter que ceci
met à jour la version depuis <i>potato-proposed-updates</i> qui remplace la
version dans <i>Potato</i>.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 0.9.7a-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets openssl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-253.data"
# $Id: dsa-253.wml,v 1.2 2003/03/05 09:29:46 alfie Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
<define-tag description>Dépassement de tampon</define-tag>
<define-tag moreinfo>
<p>Une faille de sécurité a été découverte dans NANOG traceroute, une
version améliorée du programme traceroute de Van Jacobson/BSD. Un dépassement
de tampon a lieu dans la fonction <code>get_origin()</code>. En raison de
vérifications insuffisantes de limite réalisées par le parseur <i>whois</i>,
il peut corrompre la mémoire dans la pile système. Cette faille de sécurité
peut être exploitée par un attaquant distant pour obtenir les privilèges
<i>root</i> sur la cible. Cependant, la plupart de machines Debian n'y
sont pas sensibles.</p>
<p>Le projet <i>Common Vulnerabilities and Exposures</i> (CVE)
a identifié aussi les failles de sécurité suivantes qui étaient déjà corrigées
dans les versions Debian stable (<i>Woody</i>) et anciennement stable
(<i>Potato</i>) et sont mentionnées ici pour être complet (et étant donné que
d'autres distributions ont produit une annonce separée) :</p>
<ul>
<li> CAN-2002-1364 (BugTraq ID 6166) parle d'un dépassement de tampon dans
la fonction <code>get_origin</code> qui permet à un attaquant d'exécuter
n'importe quel code via de longues réponses WHOIS ;</li>
<li> CAN-2002-1051 (BugTraq ID 4956) traite une faille de sécurité par format
de chaîne de caractères qui permet à des utilisateurs locaux d'exécuter
n'importe quel code via l'argument -T (terminator) dans la ligne de
commande ;</li>
<li> CAN-2002-1386 développe un dépassement de tampon qui peut permettre à des
utilisateurs locaux d'exécuter n'importe quel code via un argument trop
long de nom de machine ;</li>
<li> CAN-2002-1387 explique le mode <i>spray</i> qui permet à des utilisateurs
locaux d'écraser n'importe quel emplacement mémoire.</li>
</ul>
<p>Heureusement, le paquet Debian rend ses privilèges assez tôt après le
démarrage. Ainsi, ces problèmes n'ont pas d'impacts sur une machine
d'exploitation Debian.</p>
<p>Pour la distribution stable (<i>Woody</i>), ce problème a été corrigé
dans la version 6.1.1-1.2.</p>
<p>Pour l'ancienne distribution stable (<i>Potato</i>), ce problème a été
corrigé dans la version 6.0-2.2.</p>
<p>Pour la distribution instable (<i>Sid</i>), ce problème a été corrigé
dans la version 6.3.0-1.</p>
<p>Nous vous recommandons de mettre à jour votre paquet traceroute-nanog.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-254.data"
# $Id: dsa-254.wml,v 1.2 2003/02/27 16:21:53 kaare Exp $
#use wml::debian::translation-check translation="1.2" maintainer="DFS Task Force"
Reply to: