[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2013/dsa-2626.wml

Salut,

Une annonce de sécurité a été publiée, par avance merci pour vos relectures.

Amicalement

David




#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Plusieurs problèmes</define-tag>
<define-tag moreinfo>
<p>
Plusieurs vulnérabilités ont été découvertes dans le protocole TLS/SSL.

Cette mise à jour traite ces vulnérabilités de protocole dans lighttpd.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2009-3555";>CVE-2009-3555</a>
<p>
Marsh Ray, Steve Dispensa, et Martin Rex ont découvert que les
protocoles TLS et SSLv3 n'associaient pas correctement les
initialisations de renégociation avec une connexion existante.

Cela permet aux attaquants en homme au milieu (<q>man in the
middle</q>) d'insérer des données dans des sessions HTTPS.

Ce problème est corrigé dans lighttpd en désactivant
par défaut la renégociation initiée par le client.
</p>
<p>
Les utilisateurs qui ont vraiment besoin de ce type de
renégociations peuvent les réactiver avec le nouveau
paramètre <q>ssl.disable-client-renegotiation</q>.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-4929";>CVE-2012-4929</a>

<p>Juliano Rizzo et Thai Duong ont découvert une faille dans le protocole TLS/SSL
quand la compression est utilisée. Cette attaque par des canaux auxiliaires, baptisée
<q>CRIME</q>, permet à des personnes indiscrètes de collecter des informations afin
de retrouver le texte original dans le protocole. Cette mise à jour désactive
la compression SSL.</p>

</ul>

<p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1.4.28-2+squeeze1.2.</p>

<p>Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.30-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets lighttpd.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2626.data"
# $Id: dsa-2626.wml,v 1.1 2013-02-17 13:57:32 taffit Exp $

Attachment: signature.asc
Description: OpenPGP digital signature

Reply to: